智慧應用 影音
order
活動+

FireEye公開透明處理資安事件 協助加強網路安全

  • 吳冠儀台北

根據CNBC報導,美國微軟總裁Brad Smith在日前立法聽證會上表示,如果沒有FireEye公開揭露內部遭駭的安全事件,那麼通過軟體承包商對政府系統的大規模入侵事件,大眾仍然被蒙在鼓裡。

Brad Smith表示各界之所以能夠對SolarWinds展開深入調查,是因為FireEye執行長Kevin Mandia選擇公開揭露,並邀請微軟一起調查此攻擊事件。Brad Smith表示:如果沒有這種透明度,可能仍不會意識到這一攻擊活動。在某些方面,這是對所有人最有力的教訓之一。沒有這種類型的透明度,將無法加強網路安全。

Brad Smith強調未來可能會發生更多網路安全事件。應該要求私人企業公開透明內部嚴重違反安全系統的行為,也與歐盟等地方進行更一致的安全資訊比對。

Brad Smith建言國會除了要求私人企業對資安事件披露更多資訊外,政府部門應該與資安業界進行「更快更全面的資訊共享」。

FireEye於2020年12月揭露自家公司被駭客攻擊,指出該公司遭到一個手法高超的組織攻擊,並相信這是一樁國家支持的駭客攻擊,其目的是尋找與其政府客戶相關的資訊。

隨後,路透(Reuters)社報導,可能是俄羅斯駭客透過SolarWinds軟體更新漏洞,存取了美國商務部與財政部的電子郵件系統;紐約時報也報導美國國防部、國務院與國土安全部也受到影響。數天後,路透(Reuters)社報導微軟也被同樣的手法攻擊。

Brad Smith表示,私人企業對資安事件的透明化,能夠吸引社會注意,有效推動政策制定,提高國家對資安事件的反應能力與敏捷度。

但FireEye執行長Kevin Mandia在CNBC的專訪中表示,資訊揭露是一個「該死的複雜問題」,「原因是企業公開揭露資安事件時,所必須面臨的責任,」Mandia表示,這包括股東訴訟、商業考量、製造不必要的恐慌等。

美國情報委員會主席Mark Waner表示值得考慮要求更多的資訊揭露,即使為遵循資訊揭露義務的企業建立責任保護傘。