勒索軟體喚醒政府囤積網路武器管理政策需求

週一(5/15)在亞洲國家蔓延的勒索軟體為美國突顯一個關鍵問題:缺乏協同的國家機制來決定,政府機構何時與如何提醒他人他們所發現的關鍵性安全漏洞。“WannaCry”惡意軟體攻擊事件也顯現,急於想知道安全漏洞以保護客戶的科技公司,與因反恐及執法需求而依賴這些漏洞的政府機構間的一種緊張。國安局與中情局已如駭客般,會想方設法地找出軟體漏洞來進入電腦與系統中。

Gartner網路安全分析師Avivah Litan說:「我們可以有個國家網路安全政策,目前聯邦政府真的搞砸了科技公司與政府機構間的合作。」

Litan表示,由於政府機構和科技公司的利益往往相衝突,所以一個設定何時通知公司政府機構所發現的漏洞的國家網路安全政策或規範,就比兩者間做秘密勾當來得重要許多。

網路安全專家指出,聯邦政府目前有個名為「漏洞資產流程」(Vulnerabilities Equities Process)的政策,陳述了機構何時該告訴公司他們所發現的漏洞,但那政策只部分對外公開,而且決策過程很不透明。

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.