柏爝蓟
2019-06-06 12:10:16

华盛顿(路透社) - 周三在国会提出的一项法案将要求美国国家安全局向其他政府机构的代表通报其在软件中发现的安全漏洞,例如允许上周发生“勒索软件”攻击的漏洞。

一张未注明日期的空中讲义照片显示了位于马里兰州米德堡的国家安全局(NSA)总部大楼。 NSA /通过REUTERS讲义

在前总统巴拉克•奥巴马(Barack Obama)的领导下,政府开展了类似的机构间审查,但法律并未要求这项审查由国家安全局本身进行管理。

当一个政府机构发现计算机产品中的安全漏洞并且不想提醒制造商因为它希望利用这个缺陷来监视竞争对手时,新法案将要求进行审查。 它还要求审查过程由国防部国土安全部而不是国家安全局主持,后者将90%的预算用于进攻能力和间谍活动。

威斯康星州的共和党参议员罗恩约翰逊和夏威夷的民主党参议员布赖恩沙茨介绍了美国参议院国土安全和政府事务委员会的立法。

Schatz参议员在一份声明中表示,“在美国国家安全和一般网络安全之间取得平衡至关重要,但这并不容易。” “这项法案取得了平衡。”

科技公司长期以来一直批评隐瞒软件缺陷信息的做法,因此政府情报机构可以利用它们进行攻击。

上周,黑客在150多个国家/地区使用由美国国家安全局开发并随后在网上泄露的Microsoft Windows软件漏洞攻击了20万人。

在勒索软件攻击之后,微软总裁布拉德·史密斯严厉批评了政府在安全漏洞方面的做法。 史密斯在一篇博客文章中写道:“政府手中的漏洞一再泄漏到公共领域并造成广泛的破坏。”

网络安全专家表示,像国家安全局这样的机构通常有更大的动力来利用他们发现的间谍安全漏洞,而不是帮助公司保护客户。

剑桥大学的网络安全研究员理查德克莱顿说:“你能听到中国的政治局在聊天,并得到总统的信任吗?” “或者你是否通知公众帮助保护其他人并获得更少的荣誉?”

伍斯特理工学院的网络安全政策专家Susan Landau表示,在让DHS负责这一过程时,新法案是努力将这一过程“置于文职控制之下”。

新委员会的会议仍然是秘密的。 但每年一次,它将发布秘密年度报告的公开版本。

美国国家安全局没有立即回复评论请求。

Joel Schectman的报道; 由Jonathan Weber和David Gregorio编辑

我们的标准: