根據外媒報導,即將卸任的美國總統拜登,正在考慮發布全新行政命令,要求聯邦機構和相關業務承攬單位,必須提升自身的網路安全標準,因應近期頻繁發生的中國網路攻擊與犯罪活動。
在拜登過去任期中,美國政府和多家網路安全研究機構皆指出,多起重大的駭客攻擊事件疑似都與中國駭客組織有關。
中國駭客組織的目標包括美國當地重要基礎建設、政府電子郵件系統、大型電信公司等,最近更大膽入侵美國財政部系統,即便北京政府徹底否認了相關指控。
軟體廠商須證明產品足夠安全
外媒透露,拜登即將公布的網路安全政策相關內容,預期將針對軟體供應商,提出更為嚴苛的安全標準,甚至要求旗下政府部門建立相關的驗證機制,即由網路安全暨基礎設施安全局(CISA)負責評估資安風險。
根據情報,該行政命令的關鍵作用,在於規範業者建立起值得信賴的程式開發及驗證流程,並要求軟體公司必須證明其產品,既足夠安全又能夠抵禦網路攻擊。
未來想要跟美國聯邦政府開展業務的軟體供應商,全都必須提供相關的軟體開發安全文件,並且交給 CISA 進行評估、驗證及認證。
美國政府甚至考慮,那些未能順利通過 CISA 驗證的軟體供應商,可能會被移交給司法單位採取「適當行動」,進一步受到嚴厲的法律和經濟懲罰。
資安業界指手段不夠嚴格
除了加強對政府合作廠商的資安要求之外,拜登的行政命令亦強調,政府應該使用 AI 支援國安系統;未來美國國防部將起草增強國家網路安全能力的人工智慧計劃,同時美國能源部亦會提出強化網路攻擊抵禦能力的試點政策。
網路安全公司 Contrast Security 資深 VP Tom Kellermann 表示,雖然他支持美國政府推動更為安全的軟體開發流程,但他認為拜登行政命令所初步擬定的做法,反應到現實需求似乎依然不太夠,即各項資安規範仍不夠嚴格。
Tom Kellermann 說,考慮到來自中國、俄羅斯和強大網路犯罪集團的威脅急迫性,拜登政府對於新法案的實踐期程太隨意,其手段顯然也有些太過寬鬆。
中國駭客風險「十分龐大」
為了防止中國駭客於 2023 年 5 月,透過雲端入侵美國政府高層官員電子郵件帳戶的重大資安醜聞重演,媒體透露,拜登即將公布的行政命令中,亦會包含對雲端供應商於存取權杖與加密金鑰方面的管理準則。
前 CISA 高層官員、現任 SentinelOne 網路安全策略 VP Brandon Wales 指出,拜登決定於卸任之前,對外頒布提升政府網路安全的行政命令,本質其實建立在美國過去 5 年以來,於資安領域、授權管理和資金等各種投入之上,希望藉此應對日漸嚴重的中國網路威脅。
Brandon Wales 說,儘管中國駭客所構成的風險規模十分龐大,但美國政府和私營企業面臨的風險其實非常多元,即便威脅不是來自中國,亦需要得到政府妥善處理;該命令預期也會讓美國網路防禦戰略開啟新篇章,塑造未來數十年網路安全的全新未來。
企業導入 AI 為何須重新思考資安?揭開資安攻擊的新破口 >>看專題<<
【推薦閱讀】
*本文開放合作夥伴轉載,資料來源:《Reuters》、《Africa Logistics》。首圖來源:Pixabay
