FireEye公開透明處理資安事件 協助加強網路安全

根據CNBC報導，美國微軟總裁Brad Smith在日前立法聽證會上表示，如果沒有FireEye公開揭露內部遭駭的安全事件，那麼通過軟體承包商對政府系統的大規模入侵事件，大眾仍然被蒙在鼓裡。

Brad Smith表示各界之所以能夠對SolarWinds展開深入調查，是因為FireEye執行長Kevin Mandia選擇公開揭露，並邀請微軟一起調查此攻擊事件。Brad Smith表示：如果沒有這種透明度，可能仍不會意識到這一攻擊活動。在某些方面，這是對所有人最有力的教訓之一。沒有這種類型的透明度，將無法加強網路安全。

Brad Smith強調未來可能會發生更多網路安全事件。應該要求私人企業公開透明內部嚴重違反安全系統的行為，也與歐盟等地方進行更一致的安全資訊比對。

Brad Smith建言國會除了要求私人企業對資安事件披露更多資訊外，政府部門應該與資安業界進行「更快更全面的資訊共享」。

FireEye於2020年12月揭露自家公司被駭客攻擊，指出該公司遭到一個手法高超的組織攻擊，並相信這是一樁國家支持的駭客攻擊，其目的是尋找與其政府客戶相關的資訊。

隨後，路透(Reuters)社報導，可能是俄羅斯駭客透過SolarWinds軟體更新漏洞，存取了美國商務部與財政部的電子郵件系統；紐約時報也報導美國國防部、國務院與國土安全部也受到影響。數天後，路透(Reuters)社報導微軟也被同樣的手法攻擊。

Brad Smith表示，私人企業對資安事件的透明化，能夠吸引社會注意，有效推動政策制定，提高國家對資安事件的反應能力與敏捷度。

但FireEye執行長Kevin Mandia在CNBC的專訪中表示，資訊揭露是一個「該死的複雜問題」，「原因是企業公開揭露資安事件時，所必須面臨的責任，」Mandia表示，這包括股東訴訟、商業考量、製造不必要的恐慌等。

美國情報委員會主席Mark Waner表示值得考慮要求更多的資訊揭露，即使為遵循資訊揭露義務的企業建立責任保護傘。