强征网络零日漏洞信息 中共新法加剧外企风险

人气 879

【大纪元2021年09月14日讯】(大纪元记者骆亚、李韵采访报导)中共9月正式施行的《数据安全法》,对重要领域的国内外企业数据强化监管,同时要求企业发现自身网络安全漏洞时立刻向中共汇报。分析认为,此法是让中共黑客化暗为明,藉以轻易获取发动“零日袭击”的网络资源。

中共提前掌握可用于攻击他国

原中国大陆互联网企业技术总监王东林对《大纪元时报》记者表示,很多公司、组织存在网路安全漏洞,尤其是没有公开的漏洞,很可能被黑客利用来牟利,在中国称其为“黑色产业”。

这种已存在但没有被公布的漏洞,被称为“零日漏洞”,黑客会利用“零日漏洞”对相关目标进行网络攻击。

他说,“中国国内有专门检测安全漏洞的公司,如果民间公司把掌握的这些漏洞,提供给中国(中共)政府的话,由于共产党一言堂的独裁特性,它非常有可能掌握这些漏洞之后,成为它威慑或攻击其它国家的武器。”

美国政府7月份公开指责中共国安部门利用黑客在全球范围内入侵网络。当时微软电子系统服务器被骇事件,被认为是黑客利用“零日漏洞”对系统或软件应用攻击的最典型事例。微软方公开说,与中共相关的网络间谍组织利用微软邮件服务器软件漏洞,远程入侵电子邮件。

王东林说,中共黑客可以轻易获取发动“零日袭击”的网络资源,如果有些资源被中共政府掌握,网上大量的“云主机”,最有可能是第一波遭黑客攻击的对象。

而智能手机大量普及的情况下,一旦出现“零日漏洞”,对每个人都可能造成非常大的影响。

有分析认为,由于主流网络产品在世界各地被广泛使用,中共的新法规可能让中共政府提前掌握外国军政部门和消费者使用的软件的“零日漏洞”,并可能以此发动网络袭击。

中共新法规定 业者发现网络安全漏洞需2天内报告

中共《数据安全法》共有5章77条,新法规范中外企业在中国境内搜集的数据如何出境。对于运营者相关数据出境,适用中共《网络安全法》规定。

新法也限制境外司法机构取用在中国储存的数据。要求在中国的企业和个人在“发生数据安全事件时”,立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

同时,中共也出台了相应的《网络产品安全漏洞管理规定》,要求“网络产品提供者”,发现自身网络安全漏洞时,必须在2天内向有关部门报告漏洞信息,并不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或个人提供。

分析:中共惧怕黑客利用漏洞攻击其内部资讯

台北大学犯罪学研究所助理教授沈伯洋接受访问时分析认为,即使中共没有出台《数据安全法》,它们平常也在这么做,只是它现在出台法规公开来做。那对大家的风险来讲,其实跟以前是一样的。

沈伯洋说,“我觉得它用了一套官冕堂皇的理由,说是为了网络安全,为了保护个人私隐,要求企业有漏洞时第一时间让政府知道。但是政府它不是有能力解决漏洞的单位,它主要怕黑客利用漏洞,攻击中国(中共)政府内部的资讯。”

他认为,许多国家都有自己的黑客,譬如说中共公安部,也有自己的黑客,如果它今天知道哪里有漏洞,确实可以利用此漏洞,进行网络攻击。

“一般政府不会要求企业回报漏洞,除非企业提供服务的对象就是政府。”沈伯洋认为,在资安世界,多半的情况是,黑客比企业更早知道有漏洞存在,并且早就利用这个漏洞在进行攻击了。所以要企业回报漏洞的做法,似乎有些不切实际。

中共数据新法对在华跨国企业影响大

网络观察人士古河说,中共这项新法实际上是利用法律程序,名正言顺地去收集中外企业的网站和隐私。

他表示,“零日漏洞”在其它国家并不是由国家来管理的,是由企业自己管理。企业存在漏洞自己去修补,国家怎么来管理?国家怎么干涉企业的自由呢?对于这类漏洞最感兴趣的,其实是世界各国的黑客。

古河也认同“黑色产业”的说法,“黑客只要找到‘零日漏洞’后,会把它作为一种秘密信息记录下来,然后用来牟利。”“中共国利用这个干什么?它是窃取秘密,目的不一样。”

他认为,中共的新法对于跨国公司影响很大,像微软这类的企业在中国都有分公司。那么整个微软如果出现“零日漏洞”,按照中共的法律,它必须立即报告,那么中共立即可以直接用这个漏洞去搜索。

他举例说,比如微软的邮件系统,很多的商业秘密都是通过邮件沟通的,所以无论是黑客、还是中共,对此都很感兴趣,如此一来,就会对于整个地球村的网络安全构成极大的威胁。

责任编辑:林琮文#

相关新闻
五眼联盟联合发布网络安全警告 防备中共网攻
应对中共网攻 美网络安全部门启动协作机制
专家:网络安全人才短缺令澳人数据面临风险
白宫网络安全会:科技巨头承诺出巨资防网攻
最热视频
【新闻大家谈】专访廖天琪:六四和中共决裂
【未解之谜】穿越时空 二战飞行员的奇遇
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台
评论