強徵網絡零日漏洞信息 中共新法加劇外企風險
【大紀元2021年09月14日訊】(大紀元記者駱亞、李韻採訪報導)中共9月正式施行的《數據安全法》,對重要領域的國內外企業數據強化監管,同時要求企業發現自身網絡安全漏洞時立刻向中共匯報。分析認為,此法是讓中共黑客化暗為明,藉以輕易獲取發動「零日襲擊」的網絡資源。
中共提前掌握可用於攻擊他國
原中國大陸互聯網企業技術總監王東林對《大紀元時報》記者表示,很多公司、組織存在網路安全漏洞,尤其是沒有公開的漏洞,很可能被黑客利用來牟利,在中國稱其為「黑色產業」。
這種已存在但沒有被公布的漏洞,被稱為「零日漏洞」,黑客會利用「零日漏洞」對相關目標進行網絡攻擊。
他說,「中國國內有專門檢測安全漏洞的公司,如果民間公司把掌握的這些漏洞,提供給中國(中共)政府的話,由於共產黨一言堂的獨裁特性,它非常有可能掌握這些漏洞之後,成為它威懾或攻擊其它國家的武器。」
美國政府7月份公開指責中共國安部門利用黑客在全球範圍內入侵網絡。當時微軟電子系統伺服器被駭事件,被認為是黑客利用「零日漏洞」對系統或軟件應用攻擊的最典型事例。微軟方公開說,與中共相關的網絡間諜組織利用微軟郵件伺服器軟件漏洞,遠程入侵電子郵件。
王東林說,中共黑客可以輕易獲取發動「零日襲擊」的網絡資源,如果有些資源被中共政府掌握,網上大量的「雲主機」,最有可能是第一波遭黑客攻擊的對象。
而智能手機大量普及的情況下,一旦出現「零日漏洞」,對每個人都可能造成非常大的影響。
有分析認為,由於主流網絡產品在世界各地被廣泛使用,中共的新法規可能讓中共政府提前掌握外國軍政部門和消費者使用的軟件的「零日漏洞」,並可能以此發動網絡襲擊。
中共新法規定 業者發現網絡安全漏洞需2天內報告
中共《數據安全法》共有5章77條,新法規範中外企業在中國境內搜集的數據如何出境。對於運營者相關數據出境,適用中共《網絡安全法》規定。
新法也限制境外司法機構取用在中國儲存的數據。要求在中國的企業和個人在「發生數據安全事件時」,立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。
同時,中共也出台了相應的《網絡產品安全漏洞管理規定》,要求「網絡產品提供者」,發現自身網絡安全漏洞時,必須在2天內向有關部門報告漏洞信息,並不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或個人提供。
分析:中共懼怕黑客利用漏洞攻擊其內部資訊
台北大學犯罪學研究所助理教授沈伯洋接受訪問時分析認為,即使中共沒有出台《數據安全法》,它們平常也在這麼做,只是它現在出台法規公開來做。那對大家的風險來講,其實跟以前是一樣的。
沈伯洋說,「我覺得它用了一套官冕堂皇的理由,說是為了網絡安全,為了保護個人私隱,要求企業有漏洞時第一時間讓政府知道。但是政府它不是有能力解決漏洞的單位,它主要怕黑客利用漏洞,攻擊中國(中共)政府內部的資訊。」
他認為,許多國家都有自己的黑客,譬如說中共公安部,也有自己的黑客,如果它今天知道哪裡有漏洞,確實可以利用此漏洞,進行網絡攻擊。
「一般政府不會要求企業回報漏洞,除非企業提供服務的對象就是政府。」沈伯洋認為,在資安世界,多半的情況是,黑客比企業更早知道有漏洞存在,並且早就利用這個漏洞在進行攻擊了。所以要企業回報漏洞的做法,似乎有些不切實際。
中共數據新法對在華跨國企業影響大
網絡觀察人士古河說,中共這項新法實際上是利用法律程序,名正言順地去收集中外企業的網站和隱私。
他表示,「零日漏洞」在其它國家並不是由國家來管理的,是由企業自己管理。企業存在漏洞自己去修補,國家怎麼來管理?國家怎麼干涉企業的自由呢?對於這類漏洞最感興趣的,其實是世界各國的黑客。
古河也認同「黑色產業」的說法,「黑客只要找到『零日漏洞』後,會把它作為一種祕密信息記錄下來,然後用來牟利。」「中共國利用這個幹什麼?它是竊取祕密,目的不一樣。」
他認為,中共的新法對於跨國公司影響很大,像微軟這類的企業在中國都有分公司。那麼整個微軟如果出現「零日漏洞」,按照中共的法律,它必須立即報告,那麼中共立即可以直接用這個漏洞去搜索。
他舉例說,比如微軟的郵件系統,很多的商業祕密都是通過郵件溝通的,所以無論是黑客、還是中共,對此都很感興趣,如此一來,就會對於整個地球村的網絡安全構成極大的威脅。
沒有留言:
張貼留言