Cybersecurity

US Vulnerability Equities Policy: ความโปร่งใสที่เพิ่มเติมเข้ามา แต่ยังคงเต็มไปด้วยคำถาม

ต่อเนื่องกับนโยบายใหม่ของทางสหรัฐฯที่ออกมาเพื่อแก้ตัวที่ทำเครื่องมือเจาะช่องโหว่หลุด

นโยบายใหม่ของทางสหรัฐฯเพื่อเพิ่มความโปร่งใสของการตรวจสอบช่องโหว่ กับคำถาม “การที่รัฐบาลเก็บช่องโหว่ไว้ใช้เองเป็นการสร้างอันตรายให้กับโลกอินเตอร์เน็ตหรือไม่?”

หากใครคาใจกับคำถามด้านบนสามารถหาคำตอบได้ ใน 3 บทความที่ทางรัฐบาลสหรัฐฯปล่อยออกมาให้อ่านกัน:

ความโปร่งใสใหม่

ก่อนที่ผมจะให้ความเห็นเกี่ยวกับนโยบายใหม่ที่ทางรัฐบาลสหรัฐฯปล่อยออกมา ผมขอชื่นชมให้กับการกระทำของรัฐบาลสหรัฐฯครั้งนี้ ที่นำการทำงานเกี่ยวกับการตรวจสอบช่องโหว่ออกมาสู่แสงสว่าง

การแถลงการณ์ของคุณ Rob Joyce ทีช่วยคลี่คลายปมเกี่ยวกับประเด็นนี้ เนื่องจากผมเป็นคนหนึ่งที่อยากเห็นการตัดสินใจเกี่ยวกับการเก็บช่องโหว่เป็นความลับ อย่างที่ในบทความบอกว่า การสะท้อนให้เห็นความรู้ความเข้าใจเป็นสิ่งจำเป็น และความมุ่งหมายที่จะพิจารณาในหลายๆมุมมอง ผ่านรูปภาพแผนภูมิด้านล่าง:

VEP-flowchart

ในทางปฏิบัตินั้นเหมือนกับที่นักวิจัยความปลอดภัยทำ ในกระบวนการของ VEP ผมขอชื่นชมในสิ่งที่กลุ่มคนชายหญิงนี้กำลังช่วยแก้ปัญหาที่น่ากลัวนี้

นโยบายกับการปฏิบัติ

ผมขอขอบคุณทางทีมงานความปลอดภัยไซเบอร์ของทำเนียบขาวที่ “สนับสนุนทั้งสองฝ่ายเพื่อสร้างสมดุลของการช่องโหว่” และขอขอบคุณ Mr.Joyce ที่เป็นหนึ่งพลังที่จะส่งต่อข้อมูลให้กับสาธารณะ

ถ้าคุณได้อ่านบทความก่อนหน้านี้ของเราเกี่ยวกับ VEP คุณจะทราบว่าผมไม่ค่อยพอใจกับการที่รัฐบาลพบช่องโหว่ในซอฟต์แวร์แล้วไม่บอกทางผู้พัฒนา ทั้งๆที่รู้ดีว่า “การซุกซ่อน” ช่องโหว่แม้เพื่อไว้ให้รัฐบาลใช้ปกป้องคนภายในประเทศ

เหตุการณ์ที่ตอกย้ำการตัดสินใจที่ผิดพลาดของรัฐบาลก็คือ เหตุการณ์แพร่กระจายของโปรแกรมเรียกค่าไถ่ WannaCry และ Petya ที่สร้างความเสียหายนับล้านดอลล่าร์ เนื่องจากช่องโหว่ EternalBlue ที่หน่วยงานของรัฐบาลสหรัฐฯ (NSA) เก็บรักษาไว้โดนกลุ่มแฮกเกอร์ The Shadow Broker เอาไปใช้งาน

ในอีกนัยหนึ่ง จนกว่าหน่วยงานลับจะสามารถเก็บความลับทุกอย่างได้อย่างสมบูรณ์แบบ ถึงจะสามารถเก็บช่องโหว่ให้เป็นความลับได้ และกว่าที่จะถึงวันนั้นสิ่งที่รัฐบาลสมควรทำก็คือการแก้ไขทุกช่องโหว่ที่พวกเขาพบ

Author: Stephen Cobb
Source:
https://www.welivesecurity.com/2017/11/15/us-vulnerability-equities-policy-questions-remain/
Translated by: Worapon H.

%d bloggers like this: