情境示意圖,非事件照片,圖片來源/美國白宮

就在下臺前夕,美國前任總統川普昨(20)日簽署最後一波行政命令,要求美國雲端業者應詳細確認及紀錄外國客戶的身份紀錄,以防範外國駭客的網路攻擊。

這份名為《因應重大惡意網路活動採取進一步措施以解決國家緊急事件》的行政命令,由路透社率先報導,是以2015年歐巴馬政府簽署的行政命令為基礎修改而成。雖然是在川普任內最後一天才簽署,不過可望會獲得保留,除非遭新上任的總統拜登廢止。

這項行政命令賦予美國商務部權力制訂相關規定,以確保美國雲端業者不會被用於網路威脅。根據這項命令,商務部在應在180天內制訂規定,要求基礎架構即服務(Infrastructure-as-a-service,IaaS)供應商驗證所有外國客戶的身份,維護特定紀錄,而在平臺遭惡意使用時應採取行動。

此外,商務部長也應決定,是否或哪些國家或個人不得採用所有美國IaaS的服務。商務部長並可在諮詢美國國防長、法務長、國土安全部長及國家情報總監決定可免於本命令的美國IaaS業者或帳號。

川普同時也致信美國眾議院議長Nancy Pelosi及參議院主席/前任副總統彭斯(Mike Pence)指出,外國份子利用美國各種任務的IaaS產品進行惡意網路活動,令美國官員難以透過合法程序追蹤並在其移轉到其他服務,銷毁活動證據前取得這些資訊,而美國IaaS產品的外國經銷商也讓外國份子得以使用這些產品來躲避偵測。

川普指出,為了防範外國惡意網路人士利用美國IaaS產品,並協助調查涉及外國惡意人士的交易,美國政府應確定IaaS供應商驗證IaaS帳號持有者個人的身份,維護交易紀錄,並在必要情況下,應限制外國份子存取美國IaaS產品同時應鼓勵IaaS供應商合作,包括共享資訊以打擊惡意網路活動。

這項行政命令類似金融業以反洗錢為目的「認識你的客戶」 (Know Your Customer)政策,要求服務供應商協助防範犯罪。

或許這道行政命令是因應SolarWinds事件中,外國駭客攻擊美國政府及多家企業而制定。不過安全界部份人士卻對此諸多疑慮。首先,驗證客戶身分和保留交易資料對小型IaaS業者是一大沈重成本,可能迫使他們將此外包大型業者如AWS或Google,愈發鞏固大型業者的獨大地位。若是為防範網路駭客則更不可能,因為駭客往往是劫持合法的帳號來發動攻擊,而非自己申請一個IaaS帳號。

最後,SCMagazine引述業者指出,該行政命令若是為了建立一組被管制的服務,則欠缺法源基礎。如果是想防止被禁運國家使用IaaS,也是疊床架屋的命令,還可能碰上與歐盟標準扞格而窒礙難行。因此業者判斷有可能無需採取任何行動。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement