以後,微軟想給你的電腦更新一個補丁,也需要先經過美國政府的同意。
5月26日,一聲令下,BIS(美國商務部工業和安全局)主導的《信息安全控制:網絡安全物項》正式發佈。該規定稱出於“國傢安全和防恐考慮”,包括中國、俄羅斯、烏克蘭、越南等在內的多個國傢和地區被劃分為D類“受限制國傢和地區”,這意味著當美國實體與該區域的“政府最終用戶”分享網絡安全事項時,需要先向美國政府申請,獲得許可後才能跨境發送可能存在的網絡安全漏洞。
圖源:美國商務部工業和安全局
在數字化浪潮席卷全球的大背景下,國際社會因對網絡、數據安全及個人數據隱私相關立法還不夠健全,的確都在加強對上述領域的監管。如,我國自2017年發佈《網絡安全法》後,2021年又連續發佈實施瞭《數據安全法》《關鍵基礎設施保護條例》,並在2021、2022年兩屆《政府工作報告》中都強調瞭“強化網絡安全、數據安全和個人信息保護”。
但是,很少有國傢就自傢網絡公司的民用商業軟件出口,基於網絡安全物項考量做出限制,因為這項規定直接影響的是本土跨國企業以及它們服務的大量普通用戶的利益和安全。如,谷歌曾透露搭載安卓系統的智能手機/平板數量超過瞭30億臺,微軟則表示有超過14億人使用Windows操作系統,用戶遍佈全球,谷歌、微軟都有跨國、跨部門的網絡安全團隊並實時共享數據信息,部分開源項目甚至不限制第三方參與,以便隨時更新補丁、修補漏洞,而BIS新規相對國際網絡安全領域長久以來的漏洞分享機制必然會造成影響。
包括微軟在內的多傢公司曾對BIS的新規提出異議,微軟表示BIS對“政府最終用戶”的定位過於寬泛,在新規草案的建議中希望BIS能明確定義“政府最終用戶”所代指的個人或實體,微軟還表示向BIS提交申請也面臨著審核時間過長的問題,此外,新規將使公司與網絡安全研究人員和漏洞賞金獵人的跨境合作變得冷淡,因為出口商在與這些個人或實體溝通之前,將被要求檢查個人是否與政府有關聯。
圖源:來源:微軟文件截圖
BIS雖然承認瞭微軟所擔憂的問題,但最終拒絕瞭該提議,BIS認為微軟的建議將破壞新規的整體意義,BIS在回應中表示:“然而,由於許可證要求的范圍和適用性有限,BIS認為該要求將保護美國的國傢安全和外交政策利益,而不會對合法的網絡安全活動造成不當影響。”
BIS拒絕微軟建議的原因不難理解,BIS的新規脫胎於瓦森納協議(全稱《關於常規武器和兩用物品及技術出口控制的瓦森納協定》),其目的就在於對成員國包括“入侵軟件”在內的“軍事和兩用技術”的出口進行政策性管控。瓦森納協議成員國由美國、日本、英國、俄羅斯等42個成員國組成。雖然協議規定成員國可參照共同的管制原則和清單自行決定實施出口管制的措施和方式,但成員國傢若擬向中國出口某項高科技設備時,美國通常會向該成員國施加壓力,幹涉交易。
圖源:來源:瓦森納協定
如今,隨著網絡安全、數據安全在社會中扮演的角色日益重要,美國也亟需擴大瓦森納協議的管控范圍,把網絡安全領域的管控納入到瓦森納協議中來。
去年10月,BIS在發佈“禁止攻擊性網絡工具出口”的規定時,美國商務部長吉娜·雷蒙多就強調:“對某些網絡安全項目實施出口管制的臨時最終規則是一種適當定制的方法,可以保護美國的國傢安全免受惡意網絡行為者的侵害,同時確保合法的網絡安全活動。”因此,BIS近日出臺的新規與去年10月發佈的征求意見稿相比變化不大。
當然,美國保護自身的網絡安全隻是其一,在信息安全領域對中國進行技術封鎖則是另一重要目的。火線安全聯合創始人曾垚對品玩表示:“中國並不在瓦森納協議的成員國當中,本次美國商務部工業和安全局的限令可看作是繼2020年起對部分國傢在芯片領域采取嚴厲限制後,向另一重要領域——信息安全領域的延伸。”
在互聯網與社會深度融合、各類應用日益豐富的當下,其背後的網絡安全問題其實暗流洶湧。在去年年末爆發的史詩級漏洞“Log4j”事件中,火線安全對Github上的存在該風險開源軟件進行瞭不完全統計,發現在60644個開源項目中有至少321094個軟件包存在風險,僅這一漏洞就會影響互聯網上超過70%的企業系統安全。
而在全球肆虐的史詩級漏洞“Log4j”的最早發現者卻是一位來自中國公司的程序員,該漏洞的修復也不是由一個人、一傢公司或是一個國傢來主導完成的,是開源社區內無數開發者經過數個日夜無償加班加點完成修復的。
BIS新規的發佈對全球網絡安全問題的共享解決機制無疑是一次打擊。
“雖然短期來看有利於BIS可以快速通過新規降低中國等國傢在軟件安全性和安全漏洞發現能力,但長期來看弊端明顯,”曾垚對品玩表示,“首先,BIS新規會加速中國等國的軟件國產化。其次,新規減少瞭美國獲取全球漏洞信息和情報的能力。從HackerOne、PWN2OWN等全球漏洞比賽來看,中國的漏洞發現能力在全球也位於前位,限制會進一步觸發中國漏洞研究能力的輸入。最後,美國科技企業因無法向限制國傢提供網絡漏洞的情報服務,將影響該國企業的網絡安全響應能力進而影響商業拓展。”
在地緣政治沖突的大背景下,互聯網似乎似乎已不再是那個傳統意義上開放、共享的公共領域,網絡安全事項的管控也逐漸和武器設備、核材料、高科技設備的管控放到瞭同一位置,雖然各國對網絡安全事項的管控還處於摸索階段,但美國無疑做瞭一個壞的表率。