美国官员称科技公司必须打造安全产品 - 《华尔街日报》

James Rundle

2022-10-28

作者：詹姆斯·朗德尔2022年10月27日下午4:07（美国东部时间）|WSJ专业版2021年的国家网络总监克里斯·英格利斯。图片来源：L Nolly/Zuma Press白宫向软件制造商和服务提供商传达了一个强烈的信息：网络安全也是你们的问题。

美国高级网络官员在周四的一次活动中表示，技术提供商而不仅仅是购买者，必须承担起确保其产品免受网络攻击的责任。

国家网络总监克里斯·英格利斯表示，他倾向于采用“最轻的触感”来定义基本的安全要素，并且用户必须承担部分责任，确保他们安全地使用软件或服务。但他表示，最终，安全责任必须共同承担。

“我想大家都同意，供应链末端的用户不能成为第一道和最后一道防线。我们必须沿着供应链推卸一些责任，”他在由政策智库战略与国际研究中心主办的一次活动中说道。

英格利斯先生表示，过去如12月披露的开源软件Log4j漏洞等网络安全冲击表明，仅仅对事件做出反应并不理想。“如果我们每次都这样出色地应对，我们只会输得更慢。”

相反，英格利斯先生表示，技术必须从设计上就确保安全，这样即使发生像Log4j漏洞这样的情况，也能在最早可能的时候发现并控制。该漏洞的发现引发了安全团队在圣诞节前夕的紧急行动，以识别和修补包含该代码的应用程序，同时网络官员发出严厉警告，称该问题极为严重。

自拜登政府上任以来，白宫一直推动联邦机构加强多方面的安全措施。这包括建立所谓的软件物料清单，这些清单列明了应用程序中使用的组件，可在漏洞出现时缩短响应时间。政府现在正将注意力转向私营部门某些领域的网络安全标准。

网络安全与新兴技术副国家安全顾问安妮·纽伯格，摄于三月。图片来源：帕特里克·塞曼斯基/美联社网络安全标签计划，仿效联邦能源之星计划（该计划认证建筑和设备的能源效率），将迫使生产联网消费产品和商业产品的公司达到最低安全标准，白宫网络安全与新兴技术副国家安全顾问安妮·纽伯格表示。

她表示，最终，这一努力将提升金融服务、能源、航空和其他关键基础设施领域的网络风险管理和韧性。她与英格利斯先生在同一小组讨论中发言。

纽伯格女士将该计划的潜在影响比作餐厅开始在橱窗中展示卫生部门评级的做法。

“这为消费者提供了一种非常快速的决定方式：我要去哪家餐厅？当然不会是评级为‘C’的那家。我们正试图为你的智能电视做同样的事情，”她说。

纽伯格女士表示，科技供应商必须从最初设计阶段就提供本质安全的产品，且不应让买家承担额外成本。她强调，保障产品安全的责任不能仅由用户承担。

她以云计算为例，指出该领域的安全责任应在供应商和客户之间更合理地分配。

传统上，大型云服务商通常采用责任共担模式——他们负责确保技术安全，但用户需对自己上传至云端的数据及安全配置负责。她认为这种责任划分需要重新评估。

“作为技术提供商，你有责任为产品提供基础安全保障。“她说道。

联系作者詹姆斯·朗德尔：[email protected]

推荐阅读