路透社报导,美国总统拜登鉴于与中国有关联的网络攻击及网络犯罪活动层出不穷,将在卸任前推动相关改革,预计数天后颁布行政命令要求联邦机关及承包商采取更严格资安标准。
在美国政权即将交接之际,根据美国政府及资安研究组织说法,这段期间美国发生数起备受瞩目的与中国有关骇客事件,攻击目标包括关键基础设施、政府电子邮件、主要电信业者及最近的美国财政部。北京则否认相关指控。
根据路透社见过的行政命令草案,拜登(JoeBiden)要求采取更严格标准来开发安全软件,并让政府有能力来确认这些标准是否达到,要建立一套程序让美国网络安全和基础设施安全局(Cybersecurityand Infrastructure Security Agency,CISA)来评估相关流程。
根据草案,软件供应商将须提供安全软件开发相关文件给网络安全和基础设施安全局,让该局透过其软件验证程序进行评估与认证,若未通过则可能通知美国司法部长采取“适当行动”。
资安公司Contrast Security负责网络策略事务的高级副总裁凯勒曼(TomKellermann)表示,虽然上述做法仍远不足够,但政府采取行动来推动更安全的软件开发仍值得鼓励。
但他也指出,中国、俄罗斯及强大的网络犯罪集团带来的威胁已迫在眉睫,拜登行政命令中的落实时程仍看似“随意”。“威胁已经到来。我们实际上正面临俄罗斯与中国煽动让美国各关键基础设施和政府机关受到暴乱。”
拜登的行政命令还将要求订定指导方针来管理云端供应商所使用的存取权杖及加密金钥的安全性。微软(Microsoft)2023年5月表示,当时与中国有关系的骇客正是利用相关漏洞入侵美国高层官员的电子邮件账号。
