美國政府要求企業必須保障客戶資料不受 Log4j 漏洞攻擊影響

美國聯邦貿易委員會（Federal Trade Commission, FTC）日前公告，警告任何無法採取行動，有效保護客戶資料不受 Log4j 漏洞影響的企業，將會受到該單位的法律制裁。

FTC 發表的新聞稿指出，Log4j 漏洞（CVE-2021-44228）的影響十分嚴重，對數百萬種消費性產品、企業用軟體與網路服務造成巨大資安危機，且已遭到駭侵者廣泛運用於各類資安攻擊。

FTC 說，依照相關美國法律，包括聯邦貿易委員會法（the Federal Trade Commission Act）與金融服務法現代化法案（Gramm Leach Bliley Act），企業有責任處理已知的軟體資安漏洞。

FTC 指出，2019 年時 Equifax 即因未能立即處理已知的軟體資安漏洞，造成 1.47 億客戶個人資料外洩，因此被判 7 億美元的巨額罰款。

FTC 表示，如果有任何企業未能依法立即處理已知的 Log4j 漏洞，或是未來任何已知的資安漏洞，因而造成顧客資料損害，FTC 將動用一切司法行政能力，對這類企業進行裁罰。

FTC 要求各企業依照美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）提出的指南，加強應對 Log4j 漏洞，包括將使用 Log4j 程式庫的軟體更新至最新版本、依照指南強化資安防護能力與布署、確認所有步驟符合上述法律的要求，並且將相關訊息通報所有相關關係人，例如軟體供應商、代理商等。

本文轉載自TWCERT/CC。