英国议会某委员会建议出台新法规,强制软件出版商遵守 安全默认设计原则,否则将面临经济处罚。
与美国政府类似,英国政府此前已推动科技行业 自愿将安全性整合到产品设计中——这一政策源于对大量破坏性勒索软件攻击、国家支持的网络间谍活动的不满,以及对外国黑客远程破坏可能性的担忧(参见:英国软件安全实践准则获 mixed reviews)。
英国下议院商业与贸易委员会在周一发布的一份旨在提升经济安全的报告中,仍支持让软件开发者承担责任。该委员会呼吁设立“执法机构”,有权对 不遵守安全默认设计原则的行为处以罚款。
无论是通过让科技公司面临客户诉讼,还是通过政府执法来强制推行安全默认设计,迄今为止对美国支持者而言都是不可能实现的目标,对英国支持者而言也困难重重。英国支持者曾成功为物联网设备制定最低网络安全标准(如禁止通用默认密码),但在其他方面不得不依赖科技行业的合作。
在美国,包括拜登政府在内的支持者未能克服硅谷的反对,以及“让科技行业承担责任会限制美国经济引擎”的论点。2025 年 6 月,唐纳德·特朗普总统撤销了拜登时期的一项要求,该要求规定软件开发者向联邦政府出售产品时,需提交证明其使用安全软件开发实践的声明(参见:特朗普以行政令改写网络安全政策)。
观察人士可能有机会在 2027 年底开始观察反责任论点的现实适用性,届时欧洲针对“含数字元素产品”的安全默认设计标准将生效。但即便是欧洲的规则也不会涵盖所有软件,因为《网络弹性法案》(Cyber Resilience Act)将 软件即服务(SaaS)排除在外。
在欧美均未成功的情况下,英国能否成功推行广泛的软件责任制度,现已成为一个政治问题。非营利组织“网络安全与业务弹性”政策主管 Andrew Churchill 表示,立法者可通过扩展已提议的网络安全法案来纳入软件责任条款。
该议会委员会还呼吁修改税法,允许企业 扣除用于增强弹性的订阅式 IT 服务支出。委员会称,现行法律不允许企业将网络安全软件的订阅费用注销,这抑制了相关支出意愿。
发表评论
您还未登录,请先登录。
登录