專訪：政界為何不去堵住網路安全漏洞？

德國之聲：周末以來，全球範圍內數十萬台電腦感染了名為"wannaCry" 的病毒。微軟指責美國政府和美國國家安全局NSA對此負有責任。微軟總裁布拉德‧史密斯（Brad Smith）在一篇部落格文章中稱，情報部門對這一安全漏洞瞭如指掌，卻不願將相關訊息通報給訊息技術企業。這次駭客襲擊應為世界各國政府敲響警鐘。這一指控有根據嗎？

法爾科‧加布希：這一說法基本上符合我們過去多年來所指出的問題。我們知道，情報部門一直在蒐集和利用安全漏洞。他們要麼在黑市上購買這類漏洞，或者招募專業人才，為他們尋找漏洞。情報部門會利用這些漏洞，對一些系統展開有針對性的攻擊。對於美國情報部門來說，工業間諜、經濟間諜和科技間諜都是他們非常感興趣的領域，他們在這些領域非常活躍。此外，情報部門還熱衷於蒐集個人訊息，以便利用這種數位武器對系統和電腦網路展開有針對性的攻擊。

德國之聲：那就是說，政府部門會對訊息科技產業故意隱瞞一些系統漏洞的訊息，因為他們自己想利用這些漏洞？

法爾科‧加布希：的確如此。如果你購買了有關係統漏洞的訊息，那你當然希望這個漏洞盡可能長久的存在下去，為己所用，畢竟你為這個漏洞付了很多錢。但是另一方面，作業系統的漏洞得不到彌補，那么全球範圍的電腦系統就不安全，就有可能被犯罪分子利用。

德國之聲：難道情報部門甘願冒這種風險？

法爾科‧加布希：不僅情報部門這樣，政府也有意識地去冒這種風險。過去幾個月裡，有關操控選舉的爭論足以讓我們看到，有關國家正在展開一場網路軍備競賽。安全漏洞被披上國防的外衣視為珍寶，而真正的防禦機制卻被拋在了一旁。最近的網路襲擊只是第一輪襲擊。如果情報部門繼續為了獲得攻擊對手的數位武器去蒐集並隱瞞安全漏洞，而不是去消除和彌補漏洞，那我們就必須認為，情況會變得越來越糟。防範駭客襲擊唯一的可能性就是，採取防患於未然的政策。

德國之聲：難道彌補安全漏洞不是更符合政府的利益嗎？因為這樣他們就不會成為網路攻擊的對象了？

法爾科‧加布希：當然是這樣。所以我也感到很奇怪，政府為什麼會允許情報部門隱瞞安全漏洞。各國政府必須意識到，網路不是某一個國家的網路，而是一個國際性的架構。彌補漏洞，各國都會從中受益。這就和傳統的國防戰略很不同，不是說你在軍備競賽中獲得了最好的武器，你就可以佔據優勢。在網路世界則不同，如果你有安全漏洞，那你就有遭到攻擊的可能性。我在自己家裡安了最好的窗戶，卻不安門，小偷還是會進來的。

德國之聲：微軟把球踢給政府，是不是在找替罪羊呢？畢竟這個漏洞是微软作業系統的漏洞。

法爾科‧加布希：當然了，微軟現在把矛頭指向別人說，你看他們發現漏洞居然不通報我們。這個安全漏洞本來已經得到彌補了。但微軟並沒有把這個消息通報公眾社會，他們本來可以通過媒體和輿論讓所有用戶都知道，快去安裝安全補丁。但微軟並沒有這麼做。但另一方面，微軟說的也有道理，就是美國國家安全局的做法是不能接受的。據我所知，美國國家安全局去年就已經知道，他們所掌握的這個安全漏洞的訊息已經洩露了。他們那時就應當通報微軟。

德國之聲：鑑於這次"WannaCry"病毒襲擊影響面極大，您認為，有關方面會改變思想嗎？

法爾科‧加布希：當然大家都希望，政屆能意識到問題的嚴重性。不過，聽了過去幾天來，有關人士對此問題發表的評論，我並不感到樂觀。杜布林特先生再度呼籲要去完善訊息技術安全法，但殊不知，這個安全法只會營造虛假的安全感，毫無實際意義。各方必須完全摒棄迄今為止有關網路安全的方案和思路，而要思考引入安全漏洞通報義務的可能性，同時還要將安全漏洞的訊息通報給終端用戶。否則情報部門就會繼續在黑市上購買漏洞訊息。只有做到這一點，電腦系統的安全才能長期得到保障。

德國之聲：政府，情報部門以及IT行業都負有責任和義務。終端用戶是否也應當承擔起一定的義務呢？

法爾科‧加布希：當然是這樣。我們都在使用這項技術，所以我們就必須對我們的所作所為進行認真思考。我們必須意識到，對電腦系統進行安全升級是非常必要的，而且升級包一發布，必須立即下載安轉，而不是一拖再拖。我們必須學習掌握必要的技能，以便識別風險，保護自己。每一個人都能有這種責任感。

 

法爾科‧加布希（Falk Garbsch）是專業電腦及軟體工程師，現任混沌電腦俱樂部新聞發言人。混沌電腦俱樂部是從事電腦安全研究的非政府組織，他們自稱是歐洲最大的駭客組織。

 

德國之聲致力於為您提供客觀中立的新聞報導，以及展現多種角度的評論分析。文中評論及分析僅代表作者或專家個人立場。