吳明宜川普最後行政命令:雲端業者應確實掌握外國客戶的身份資料
遭到兩次彈劾的美國總統川普在任內最後一天,仍然不打算放鬆。他在昨(19)日簽署了一項行政命令,要求美國雲端廠商必須確實紀錄外國客戶身份,以必要時協助美國官方追蹤網路犯罪。
川普要求雲端廠商保存的資訊包括姓名、實體住址和電子郵件、身份證號、支付方式及來源如信用卡或銀行帳號、電話號碼及每次存取服務的IP位址等。
美國網路不願意成為利用工具
川普在致美國眾議院議長Nancy Pelosi及美國(前)副總統彭斯(Mike Pence)的信中指出,外國行動者利用美國各種任務的基礎架構即服務(IaaS)進行惡意網路活動,令美國官員難以透過合法程序追查及取得資訊,即讓這些外國行動者轉到其他基礎架構,摧毁之前行動的證據。美國IaaS產品的外國經銷商也讓外國行動者更容易存取這些產品以迴避偵測。
雖然這項行政命令使用IaaS的名詞,但根據命令的定義,適用對象也涵括其他雲端服務。「這詞意思任何提供給消費者的產品和服務,包括互補或試用版,涵括運算、儲存、網路或其他基礎運算資源,讓消費者可以部署或執行未預定義的軟體,包括作業系統和應用程式。」
根據該行政命令,IaaS一詞涵括「代管」產品或服務,即由供應商負責系統組態和維護者,以及「非代管」產品服務,即產品只負責確保產品提供給消費者類。此外,也包括「虛擬化」產品和服務,如由VM共享一台實體機器,及「專屬」產品和服務,即所有運算資源由單一客戶使用(如裸機伺服器)。
美國雲端業者可以阻斷惡意活動
這份行政命令賦予商務部長權力限制某些國家或特定外國人使用美國雲端服務,如果該國有許多人使用美國IaaS產品從事惡意網路活動。本行政命令下,美國雲端業者義務將在180天後啟動。
未來120天內,美國政府必須就美國雲端業者該如何擴大資訊共享如何減少美國IaaS產品的濫用徵求意見。240天後,應向美國總統提出報告和建議。
川普政府的國家安全顧問Robert O’Brien也發出聲明,過去四年內每次網路事件中,濫用美國IaaS產品的惡意行動者都扮演很重要角色,包括對美國公司FireEye及SolarWinds的滲透。
一些雲端公司,像是Amazon、Google及蘋果對川普政府來說是芒刺在背,他們也對川粉使用的Parler進行封殺。由於時間點太過巧合,因此網友盛傳這次行政命令乃是對這些廠商的最後一擊。事實上,政治報導網站Politico報導川普政府12月初就草擬這份行政命令。
不過也有人認為這項命令對外國駭客可能不太有遏阻效果,因為網路攻擊多半是駭入合法雲端帳號,設立帳號也是使用竊來的假身份,根本防不勝防。此外,也要視商務部如何執行該政策,若是妄然推行,驗證資料將對小型業者形成沈重負擔,迫使其外包給Google或蘋果這類大型廠商。
話說回來,有業者相信這種作法將有效打擊以美國雲端平台提供盜版內容的網站。