網路安全是共業

最近發生太多事情,讓大家發現網路根本未達到其應有的安全水準。不過幾個禮拜前,我們看到許多與線上安全背道而馳的頭條新聞。像是美國國家安全局 (NSA) 也在花錢購買由駭客找出的他國網路漏洞,美國民主黨全國委員會的電子郵件遭駭事件,還有 iPhone 最近的安全漏洞;這些事件都提醒我們應時時注意網路的安全問題。

網路安全可說是環環相扣的生態鏈,我們應重複測試各個環節,確保其安全性達到應有的強度。鏈結一斷,壞事就來。儲存使用者憑證 (如電子郵件位址與密碼) 的網站可能遭入侵;遭竊的憑證可能又用以攻擊其他網站,藉以取得更高價值、更私密個人的資訊。

就算僅僅 1 個脆弱的環節,也會破壞整個安全體系,讓網路使用者暴露於風險之中。只有政府、使用者、科技公司一同堅持網路的安全,整個系統才能長治久安。

hero-cybersecurity.b5dd7f6b0aca

科技公司應注重安全性

科技公司應該開發具前瞻性、以使用者為中心的網路安全解決方案。

我們應投資打造安全平台,大力支援如安全協定的採用\標準化程序,設計可提高安全性的功能。除了教育大眾之外,更該提供好用的安全工具。

Mozilla 已經為 Firefox 內建了安全功能,如釣魚及惡意軟體防護。早在 2004 年,我們也加入了其他公司的行列,同樣提供了「臭蟲懸賞」方案,希望能儘早得知軟體產品中的漏洞並將之修復。我們不限於 Mozilla 的自家產品,更對外支持其他開源生態系統。基於 Mozilla 開放源碼支援 (Mozilla Open Source Support;MOSS) 專案,我們設立了安全開源 (Secure Open Source;SOS) 基金以支援安全性的稽核活動,並協助開發修正檔,以利開源技術能廣泛採用。

但還有許多進步的空間。最近的頭條新聞讓我們知道:使用者的線上安全顧慮確實存在且逐漸增加之中。我們應作得更好、更多。

政府應與科技公司合作

網路安全是大家必須共同承擔的責任,而政府應扮演領頭羊的角色,對於無任何公司能獨自處理的安全解決方案,就應該強力支持;而不是針對整個安全生態系統脆弱的部份制定利己政策。

我們因保障個人線上資訊所依賴的「加密」機制,正因為在某個角度保護了歹徒的權益,反而受到政府的攻擊。正如同蘋果與 FBI 於今年稍早發生的爭議,某些政府正積極弱化加密機制。但加密不能是選項;即使是因調查而為政府設下後門,都會對網路使用者的安全造成威脅。

歐巴馬 (Obama) 當局已指派了首位聯邦資安長,負責「網路安全國家行動計畫 (Cybersecurity National Action Plan;CNAP)」。我們期待此一角色和其他配套能協助政府與科技公司更合作無間,特別是在安全漏洞的部份。對於「政府發現安全漏洞並通知受影響的科技公司」,目前尚未能有統一、明確的程序。

雖然政府進行的合法駭客行為可抓到歹徒,但為此而長期累積的漏洞卻會弱化整個安全生態系統。舉例來說,NSA 所購買的網路漏洞會讓檔案與程式碼公開曝光,「零時差 (Zero day)」漏洞促使思科 (Cisco) 與 Fortinet 等公司必須立刻修補,避免遭到駭客入侵。這些都是不透明、不負責任的行為,無法確保政府能正確處理漏洞,並通知受到影響的公司。我們應該將這類現象列為第一順位,以保護使用者的線上安全。

使用者僅需簡單步驟就能強化安全生態

沒有全民的支持,政府和公司就無法提供安全的網路環境。使用者應隨時更新軟體,獲得最新的安全功能與修正檔、設定高強度的密碼以保護個人資訊。另應利用相關資源成為高水準的數位公民。對重視個人安全的使用者來說,這些動作不僅能保護自己,也協助打造了更安全的系統,讓整個安全生態更趨完善。

要確保數十億網民的線上安全,共同合作是唯一的方式。而線上安全早已是 Mozilla 的使命之一,且也將繼續努力解決相關問題。

 

 

原文連結:Cybersecurity is a Shared Responsibility

 

 

您可能也會喜歡

目前找不到相關文章

對此文章發表回應

你的電子郵件位址並不會被公開。 必要欄位標記為 *