勒索病毒 WannaCry 暴露出「弱點公平裁決程序」改革的急迫性

最近,駭客組織「影子掮客」(Shadow Brokers)利用部分 Windows OS 版本中的弱點,製作出侵害全球的「想哭」(WannaCry)惡意軟體,造成了近年來災情最慘重的網路攻擊。這個慘痛的教訓再次提醒我們,美國政府有必要對其「弱點公平裁決程序」(Vulnerabilities Equities Process,VEP)做出改革。對此改革的必要性,Mozilla 過去也曾多次呼籲

在發現此 Windows 弱點遭駭客利用後,美國國安局(NSA)或許曾通報過微軟。至少我們是如此希望的,因為那才是處理此類安全弱點該有的方法。唯有當政府願意與科技公司分享安全弱點的情報時,我們才能好好保護使用者,其中當然也包括政府員工。政府一旦發現安全弱點遭到入侵,就必須在駭客利用弱點來危害使用者前,及早通知軟體公司。然而,美國政府的決策流程卻隱晦不明。我們有必要改進 VEP 並將其納入法規監管。

此外,WannaCry 勒索威脅也突顯出安全更新的重要性。微軟早在今年三月發布的安全性更新中,便針對相關弱點提供了修補程式,但許多使用者遲遲未安裝更新,而暴露在風險之下。Mozilla 也釋出協助使用者更新軟體的資源。但除此以外,我們還有許多可努力的空間。

網際網路既是全球共享的資源,我們就該共同承擔保障網路安全的責任。無論是科技公司、政府或使用者,整體社群內的每一份子都須攜手合作,一同捍衛和加強網路安全。

原文出處