รัฐบาลสหรัฐ ออกแผนยุทธศาสตร์ความมั่นคงไซเบอร์แห่งชาติ (National Cybersecurity Strategy) เป็นกรอบกว้างๆ กำหนดแนวทางป้องกันการโจมตีไซเบอร์ โดยเฉพาะกับโครงสร้างพื้นฐานที่สำคัญของประเทศ
แผนยุทธศาสตร์นี้พูดถึงการรับมือกับกลุ่มผู้ประสงค์ร้าย (threat actors), การแลกเปลี่ยนข้อมูลกลุ่มแฮ็กเกอร์-กลุ่มผู้สร้างมัลแวร์ระหว่างรัฐบาลชาติต่างๆ, การลงทุนด้านงานวิจัยความปลอดภัย ฯลฯ ซึ่งเป็นประเด็นกว้างๆ ที่พูดถึงกันในวงการความปลอดภัยไซเบอร์อยู่แล้ว
ของใหม่ที่เป็นประเด็นจับตาคือ แผนฉบับนี้เสนอแนวคิดว่า ผู้พัฒนาซอฟต์แวร์หรือผู้ให้บริการควรต้อง "มีภาระรับผิด" ต่อการเกิดช่องโหว่ด้วย (ยังไม่ระบุลงไปชัดว่าเป็นความผิดอาญา หรือเสียค่าปรับอย่างเดียว) เพื่อกระตุ้นให้ผู้พัฒนาซอฟต์แวร์ต้องเร่งปรับตัว นำเทคนิคและมาตรการต่างๆ มาใช้เพื่อป้องกันการเกิดช่องโหว่ความปลอดภัย
ข้อความในแผนเขียนว่า ผู้ขายซอฟต์แวร์ไม่มีแรงจูงใจด้านการทำซอฟต์แวร์ให้ปลอดภัย แม้มีมาตรฐานที่ปฏิบัติกันในวงการอยู่แล้วแต่ก็ไม่ค่อยสนใจทำตาม เช่น ออกสินค้าที่ตั้งค่าดีฟอลต์แบบง่ายๆ เลยทำให้โดนเจาะได้ง่ายตามไปด้วย ระบบทั้งหมดจึงมีความปลอดภัยรวมน้อยลง เมื่อการทำแบบนี้ไม่มีภาระรับผิดใดๆ ก็ทำให้ผู้ขายซอฟต์แวร์ทำแบบนี้กันต่อไปอีกเหมือนเดิม
หลังจากแผนยุทธศาสตร์นี้ออกมาแล้ว รัฐบาลสหรัฐกับหน่วยงานที่เกี่ยวข้องต่างๆ เพื่อลงรายละเอียดและพัฒนาเป็นกฎหมายที่จำเป็นต่อไป
ที่มา - Whitehouse, Ars Technica
Comments
ส่งมนุษย์ไปดาวอังคารน่าจะง่ายกว่า ทำให้ software ไม่มีช่องโหว่เลย
สมมติว่าถ้าร่างผ่าน แล้วพวกสัญญาอนุญาต MIT นี่ก็จะขัดต่อกฎหมายไปด้วยเลยหรือเปล่า เพราะตัวสัญญาชี้แจงไว้ว่าจะไม่รับผิดชอบถ้าเกิดความเสียหายจากการใช้ซอฟต์แวร์
Microsoft จะล้มละลายก็คราวนี้ 😂
ไม่ใช่แค่นั้น ทุกบริษัทล้มละลายทั้งวงการเลย 😂
+555
ไม่ส่งผลกับ intel Nvidia Unreal Google (google chrome) เพราะ หาก โปรแกรมของ 4 บ. นี้ มีช่องโหว่ หรือมีปัญหาอื่น ๆ คนจะบอกว่า ไหน ไหน ไหน ???? ไม่มีนะปัญหา เอาที่ไหนมาพูดว่ามีปัญหา
แต่จะได้ผลกระทบอย่างหนัก แค่นั่งหายใจก็ผิด เช่น บ.AMD Unity Apple mozilla (firefox) คนหาเรื่องด่าตลอด มีปัญหาตรงโน่นนี้ มีช่องโหว่ตรงนั้น ตรงนี้
เลิก Dev กันหมดพอดี ฮ่าๆ
ข่าวต่อไป บริษัทพัฒนาซอฟท์แวร์เพิ่มเวลาทำงาน Dev เป็น 12 ชมต่อวัน เนื่องจากต้องเขียน Unit Test เป็นสองเท่า
แค่ทำให้ราคามันแพงขึ้น สุดท้ายมันก็ไปลงกับชนขั้นล่างเหมือนปกติ
อันนี้ปวดหัวกันแน่ว่าช่องโหว่ระดับไหนถึงจะโดนลงโทษว่าเป็นความหละหลวม ต่อไปฝั่ง dev อาจจะต้องมีใบ กว. แล้วมั้ง 555
..: เรื่อยไป
อาจจะต้องขึ้นราคา+ซื้อประกันช่วยร่วมรับผิดชอบความเสียหาย+ผ่องถ่ายเงินออกไปจากบ.ถ้าบ.เจ๊งนายทุนต้องรอด+เปลี่ยนโมเดลการขายใหม่
ก็ไม่ต้องอัพเดตฟีเจอร์ไงจะได้ไม่มีบัค ถถถถถถถ
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
ผมเห็นด้วยนะถ้าผู้พัฒนาซอฟต์แวร์ไม่รับผิดชอบแล้วใครจะรับผิดชอบ?ที่ผ่านมาคือเกิดความเสียหายก็ตัวใครตัวมันไปฟ้องกันเอาเอง สาระสำคัญจริงๆอยู่ที่ขอบเขตในการรับผิดชอบมากกว่า
ซอฟต์แวร์ในโลกตัวไหนไม่มีช่องโหว่ ที่ไม่โดนไม่ใช่ไม่มีช่องโหว่ แค่มันไม่คุ้มที่จะโจมตีต่างหาก
จริงแท้
..: เรื่อยไป
meme สมัยก่อน
ถ้า Microsoft ต้องจ่ายเงินคืน $1 ทุกครั้งที่ Windows เกิดค้าง บริษัทฯจะล้มละลายใน 5 ปี
ครั้งนี้
ถ้า Microsoft โดนปรับทุกช่องโหว่ Microsoft น่าจะล้มละลายใน 3 ปี
ส่วนบริษัททั่วไป ทนได้ 2 ปีก็เก่งล่ะ
อยากดูเงื่อนไขการเอาผิดแฮะ ถ้าบังคับว่าต้องออก patch ที่ปิดช่องโหว่ได้ภายใน 1 ปี ถ้าทำไม่ได้ก็โดนปรับ ผมว่ามันสมเหตุสมผลอยู่ แต่ถ้าต้องออก software ที่ไม่มีช่องโหว่เลยผมว่าทุก บ. เจ๊งแน่นอน เหมือนหลายคนว่าครับ