微軟總裁呼籲私人企業學習 FireEye 公開透明處理資安事件 強化國家網路安全網

微軟總裁 Brad Smith，上週二 (2/23) 於立法聽證會上表示，因為 FireEye 決定公開揭露內部遭駭的安全事件，外界才能得知此一龐大的攻擊事件。

Brad Smith 表示各界之所以能夠對 SolarWinds 展開深入調查，是因為 FireEye 執行長 Kevin Mandia 選擇公開揭露，並邀請微軟一起調查此攻擊事件。「如果沒有這種透明度，直到今天我們很可能仍然對此攻擊行動一無所知，」Brad Smith 表示：「某種程度上，這對我們來說都是非常珍貴的教訓；若是沒有這種透明度，整體社會的網路安全將會有所欠缺。」

FireEye 於去年 12 月揭露自家公司被駭客攻擊，指出該公司遭到一個手法高超的組織攻擊，並相信這是一樁國家支持的駭客攻擊，其目的是尋找與其政府客戶相關的資訊。隨後，路透社報導，可能是俄羅斯駭客透過 SolarWinds 軟體更新漏洞，存取了美國商務部與財政部的電子郵件系統；紐約時報也報導美國國防部、國務院與國土安全部也受到影響。數天後，路透社報導微軟也被同樣的手法攻擊。

Brad Smith 建言國會除了要求私人企業對資安事件披露更多資訊外，政府部門應該與資安業界進行「更快更全面的資訊共享」。

「私人企業對資安事件的透明化，能夠吸引社會注意，有效推動政策制訂，提高國家對資安事件的反應能力與敏捷度。」Brad Smith 表示。

但 FireEye 執行長 Kevin Mandia 在 CNBC 的專訪中表示，資訊揭露是一個「該死的複雜問題」，「原因是企業公開揭露資安事件時，所必須面臨的責任，」Mandia 表示：「這包括股東訴訟、商業考量、製造不必要的恐慌等。」

美國情報委員會主席 Mark Waner 表示值得考慮要求更多的資訊揭露，即使為遵循資訊揭露義務的企業建立責任保護傘。

Source: CNBC