據nextgov.com消息，美國商務部工業(yè)與安全局（BIS）正式發(fā)布了針對網絡安全領域的最新的出口管制規(guī)定（以下簡稱“新規(guī)”），2022年5月26日，該規(guī)定已經發(fā)布在美國政府公報網站《聯邦公報》上。

總的來說，BIS此次發(fā)布的新規(guī)和2021年發(fā)布的征求意見稿并無重大修改，微軟等國家科技巨頭卻表露出擔憂，全球網絡安全漏洞共享機制很有可能遭遇嚴峻挑戰(zhàn)。

BIS新規(guī)將全球國家分為ABDE四類，其中D類是最受關注、限制的國家和地區(qū)，我國被劃分在D類里。根據新規(guī)的要求，各實體在與D類國家和地區(qū)的政府相關部門或個人進行合作時，必須要提前申請，獲得許可后才能跨境發(fā)送潛在網絡漏洞信息。當然條款也有例外，如果出于合法的網絡安全目的，如公開披露漏洞或事件響應，無需提前申請。

微軟認為，BIS發(fā)布的這一規(guī)定將嚴重阻礙與安全研究人員和漏洞獎勵計劃參與者的跨境合作，但美國BIS堅持認為，目前該條款的范圍比較狹窄，執(zhí)行這一規(guī)定對于保障美國國家安全很有好處。

禁止攻擊性網絡工具出口

2021年10月，美國BIS就發(fā)布了“禁止攻擊性網絡工具出口”的規(guī)定，旨在阻止美國實體單位向我國和俄羅斯出售攻擊性網絡工具，并明確指出任何受到美國武器禁運的國家都需要獲得許可證才能獲得某些技術。

美國商務部長吉娜·雷蒙多表示，“對某些網絡安全項目實施出口管制的臨時最終規(guī)則是一種適當定制的方法，可以保護美國的國家安全免受惡意網絡行為者的侵害，同時確保合法的網絡安全活動。”

同時，美國BIS進一步解釋，該規(guī)則符合瓦森納協(xié)議，全稱《關于常規(guī)武器和兩用物品及技術出口控制的瓦森納協(xié)定》，協(xié)議管控“軍事和兩用技術”出口政策，共有42個協(xié)議國，包括美英法德，日本等。這里需要注意的是，俄羅斯是協(xié)議國之一，但依舊是禁運目標之一。

瓦森納協(xié)議的兩用技術清單于 2013 年修訂，包括“入侵軟件”控制，根據該協(xié)議，所有 42 個成員都受到出口管制。

微軟表示全球漏洞共享機制或遭挑戰(zhàn)

隨著新規(guī)于上周四（5月26日）定稿發(fā)布，要求跨境發(fā)送潛在網絡漏洞的實體在與中國等政府有關聯的任何組織或個人打交道時獲得許可證后，微軟隨即向BIS指出了新規(guī)可能給企業(yè)帶來的問題。

微軟認為，新規(guī)對于“政府最終用戶”的定義太過寬泛，這意味著在和對方合作前，企業(yè)需要自己查詢合作方是否是D類國家和地區(qū)的政府。毫無疑問此舉使得溝通成本和合規(guī)壓力大大增加，并直接影響微軟等國際科技巨頭在全球范圍內與網絡安全研究人員、漏洞賞金獵人的跨境合作。因此，微軟建議BIS取消這一限制，或使用更清晰的規(guī)則進行修改，但這一建議未被采納。

微軟在建議中寫到，參與網絡安全活動的個人和實體因和政府有關聯和遭限制，此舉將大大壓制全球網絡安全市場目前部署的常規(guī)網絡安全活動的能力。很多時候，在無法確定對方是否和政府存在關聯時，企業(yè)面對合規(guī)壓力只能放棄這一合作。此外，微軟很多時候都是通過逆向工程和其他技術對漏洞進行分析后才發(fā)布相關的補丁和升級，而一旦漏洞分享機制遭破壞，那么將直接降低微軟發(fā)現和修復漏洞的速度。

針對微軟提出的這些顧慮。BIS最終對新規(guī)進行了一定程度的修改，但并沒有完全按照微軟的建議進行，因為那是在“破壞整個新規(guī)的核心點”。對此，BIS強調，對代表政府行事的個人和組織必須要進行審核和許可，防止D類國家和地區(qū)違反國家安全和外交政策獲得相關的網絡安全物品、技術，這是非常有必要的。

對于已經采納的意見和修改，微軟向BIS表示感謝，但依舊對“政府最終用戶”表示困惑，同時也非常擔心新規(guī)無法適應一些特定用戶的技術，以及審核流程會變的繁瑣和冗長，并因此導致技術上的落后。

對于微軟的這些擔憂，美國BIS表示認可，但是他們依舊堅定地認為，執(zhí)行新規(guī)對于保護美國國家安全有著重要作用，對于網絡安全行業(yè)的影響在可控范圍之內。

參考來源：https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/