年关将至,阿里再受一记猛锤。
12月22日,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。
国家给你6个月时间反思,后面的看你表现。
怎么一回事?11月24日,阿里云发现严重安全漏洞隐患后,第一反应不是上报国家工信部,而是报给了美国人。
直到12月9日,中国官方管理部门也就是工信部,在公开渠道看到奥地利和新西兰的网络安全人士预警才知道这一漏洞的存在,整整滞后了半个月时间。这漏洞影响有多大?
有专业人士表示:这一漏洞是近年来发现的最严重的计算机漏洞。该漏洞在全行业中乃至政府的云服务器和企业软件中“无处不在”。
更要命的是,这个漏洞使用门槛极低,攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得最高权限,控制对方服务器,窃取信息、植入恶意软件等。
相当于,我只要推门就可以轻松进入你家,而且在你家里想干什么,就干什么。
外行不知道该漏洞的威胁程度,但是阿里的专业人员能不知道?明知该漏洞对中国构成重大威胁,但早早发现这事的阿里云,却始终未给自己的国家报个信。
漏洞最怕的就是打时间差进行攻击,若这要是被国外黑客利用,后果不堪设想。
阿里云的问题是把这个涉及国家信息安全的漏洞提交给了美国控制的基金会,却始终没有向中国官方工信部汇报,这不仅仅是个流程错误,还有可能涉及法律问题。
今年9月1日,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局组织建设的工信部网络安全威胁和漏洞信息共享平台正式上线运行。
而这个《网络产品安全漏洞管理规定》第七条明确指出,各企业发现安全漏洞后,应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
国家掏心掏肺给你提供资源,结果养了个白眼狼。
为什么工信部要和各大互联网公司,一起弄一个网络安全威胁信息共享平台?不就是为了把存在安全隐患的漏洞提交过来平台,群防群治,提高反应速度,这样既维护了企业利益,更是为国家信息安全建立起一道屏障。
网络安全,有时候比的就是速度。晚一秒,国内的重要服务器都可能会被攻陷,晚一秒,说不准哪个科研院所或者核心部委已经被入侵过。
阿里云倒好,享受着国内同行业提交过来的漏洞,自己发现了却第一时间报给美国人,对于自己的国家始终保持沉默。作为一家深度参与到了基建和政府工作的中国本土企业,你辜负了人民给的这一份信任。
中国市场、中国人民,培育起中国人自己的企业,目的绝不是为了让你的胳膊肘往外拐。
希望阿里云在接下来的半年好好反思,引以为戒,如果认识不到自己承担的使命,那毁灭就是历史的必然!