网络安全责任呼之欲出：制造商必须承担更大责任

关键要点

• 网络安全局局长指出当前商业网络安全现状不可持续，需改变责任归属。
• 拜登政府即将发布新策略，强调技术制造商的安全责任。
• 安全风险已逐渐常态化，尤其对小公司和消费者不公。
• 需提升制造商的责任和透明度，提供更安全的技术产品。

美国网络安全基础设施安全局的负责人表示，目前商业网络安全的现状“不可持续”，公司、消费者和政府必须共同调整期望，让主要的软件和硬件制造商——而非用户——对不安全的产品负责。

预计拜登政府将在未来几天内发布一项战略，强调对技术制造商的安全和安全设计选择的监管。

在2月27日于卡内基梅隆大学的演讲中，Easterly指出，美国政策制定者及消费者和第三方产品的用户，已经允许充满漏洞的软件程序与几乎在每个层面都能被攻击的硬件成为常态。

“我们已经让网络安全的负担不成比例地落在消费者和小型组织的肩上，他们往往对威胁意识最弱，保护自身的能力也最差。我们已经习惯于安全只由小型组织的IT人员或企业的首席信息安全官来负责，”Easterly表示。“但很少有人具备资源、影响力或责任感来促进安全优先于成本、市场速度和功能的产品采用。”

尽管美国社会对本月早些时候中国发射的监视气球表示震惊和愤怒，但Easterly指出，北京数十年来的网络间谍活动及知识产权盗窃对美国经济和国家安全的损害更为严重，即使这些入侵并不总是表面可见。

每年，公众通过新闻媒体、泄露法律、勒索软件泄露网站等渠道了解到数百起重大机构的泄密事件。然而，这些只是冰山一角，很多其他入侵事件则未被报道或披露。

类似俄罗斯和中国这样的对手，以及勒索软件团伙和网络犯罪分子，将继续利用这种格局，直到私营部门在产品设计初期就强调安全，才会让诸如“补丁星期二”的事件显得不合时宜。

Easterly表示：“其根本原因在于不安全的技术产品，且由于这些不安全产品造成的损害是分散和逐步显现的，因此其影响很难量化，但就像气球一样，它是存在的。”她提到这可能导致学校停课、患者转院、家庭失去积蓄、油气管道停运及因为勒索软件攻击而倒闭的高校，等等，“这些只是冰山一角。”

Easterly：制造商应承担保障技术安全的责任

Easterly呼吁建立一种新模式，使社会将保障技术安全的责任转移到大型制造商身上，即“那些最有能力、最有条件去做的厂商”。这包括建立一个“彻底透明”的漏洞披露流程，以及关于多因素认证及其他基础保护措施的内部统计数据，推动将软件开发转向内存安全的编程语言，以及将基本安全功能（如日志记录、身份保护和访问控制）标准化纳入基础套餐，而非作为高价选项附加在产品上。

她还提出了一些可能的立法选项供国会考虑，包括禁止制造商设计合同和服务条款，以免其对使用自己产品所导致的安全事件免责，提出在某些关键基础设施领域建立更高的安全标准，以及为那些积极采取安全措施开发和维护产品的公司制定法律框架，提供“安全港”以免于承担责任。

在问答环节中，Easterly表示，她可能赞成不追究受到资源丰富和复杂的国家攻击的公司法律责任，但她指出，这些攻击只占美国公民和企业每天遭受的恶意网络活动的一小部分。

尽管谷歌和微软等公司的高层已公开支持安全设计原则并实施了一些相关举措，但他们最终将如何接受Easterly及拜登政府所构想的监管措施，尚未可知。如果未来两年内追求该法案，还需通过由共和党控制的众议院，这绝非易事。

预计监管将在拜登政府的网络战略中占据重要组成部分，但这只是早期草案中描述的诸多行动支柱