在5月24日,國家標準與技術研究院(National Institute of Standards and Technology,NIST)發布了一份美國網路安全生態系統關鍵組成部分的重要建議,即漏洞揭發指南(vulnerability disclosure guidelines)。NIST是美國商務部(Department of Commerce)的一個機構,其使命包括制定網路安全標準、指南、最佳實踐和其他資源以滿足美國工業、聯邦機構和廣大公眾的需求。
NIST的出版物是SP 800-216。儘管是針對美國聯邦政府,這些指南對公眾的網路安全至關重要,也適用於任何與聯邦政府機構有接觸的人,。這些指南涵蓋的範圍包括接收有關政府機構所擁有或控制的資訊系統中潛在安全漏洞的資訊,以及將有關安全漏洞解決方案的資訊傳播給政府機構和公眾。這些建議還實施了《物聯網安全改進法案》(Internet of Things Cybersecurity Improvement Act)。
不幸的是,NIST的指南指出,它們應該與一個位於瑞士的私人組織:國際標準化組織(International Organization for Standardization,ISO)的兩個標準結合使用,該組織的標準文件存放於收費專區內,五年的個人副本(personal copies)費用為150美元。NIST還引用了另外七個由ISO發布的標準,這些標準與實施指南有關,總費用為1592美元。下載文件的每頁價格在7.08至1.37瑞士法郎之間。
NIST還透過在官方網站上直接包含連接到ISO標準收費網站的URL。其中兩個被引用的ISO出版物甚至已經過時。
NIST結合ISO標準文件的行事方式,可能影響美國的網路安全。有許多其他全球私營和政府間機構承擔著管理網路安全標準的活動,並公開發布標準,而不需要付費專區。事實上,消除付費專區是普遍做法,因為網路安全標準需要盡可能地觸及更多人,通過公開合作不斷完善、迅速發展,並且經常有需下載的相關程式碼。如今,很少有組織生產網路安全標準而保留付費專區,因為這也明顯地阻礙了標準的發展和有意義的透明度。此外,NIST的行為避開了美國的法律和人權標準,即每個人都應該有效地公開獲取法律,並且公務人員的著作不應該是適用於版權。三年前,美國最高法院做出了有利於Public.Resource.org具有里程碑意義的裁決,強調了這些規範。多年來,NIST一直免費向ISO提供自己的智慧財產和與美國合作公司的智慧財產,收取巨額費用轉售給美國用戶。
每當有人對NIST這種行為提出質疑或批評時,他們的回答通常令人難以置信,聲稱這是ISO的商業模式,並且他們無法改變。這種模式的現實情況是,ISO從事的是出版業務,而不是標準制定,他們會獲得來自NIST等公共政府機構的專供壟斷權,以獲取不公正的收入。
這種行為需要負責的機構、產業和公眾進行廣泛的審查。這部分收入由美國納稅人提供資助,除了那些從他人提供的免費智慧財產中獲得付費專區收入的單位之外,這明顯對每個人的利益造成了傷害。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Anthony Rutkowski(2023). NIST as a Cyber Threat Actor.
檢自: https://circleid.com/posts/20230525-nist-as-a-cyber-threat-actor(23, May.2023)
