按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

美國政府要求企業必須保障客戶資料不受 Log4j 漏洞攻擊影響

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-01-05
  • 點閱次數:1647
美國政府要求企業必須保障客戶資料不受 Log4j漏洞攻擊影響 TWCERT/CC

美國聯邦貿易委員會(Federal Trade Commission, FTC)日前公告,警告任何無法採取行動,有效保護客戶資料不受 Log4j 漏洞影響的企業,將會受到該單位的法律制裁。

FTC 發表的新聞稿指出,Log4j 漏洞(CVE-2021-44228)的影響十分嚴重,對數百萬種消費性產品、企業用軟體與網路服務造成巨大資安危機,且已遭到駭侵者廣泛運用於各類資安攻擊。

FTC 說,依照相關美國法律,包括聯邦貿易委員會法(the Federal Trade Commission Act)與金融服務法現代化法案(Gramm Leach Bliley Act),企業有責任處理已知的軟體資安漏洞。

FTC 指出,2019 年時 Equifax 即因未能立即處理已知的軟體資安漏洞,造成 1.47 億客戶個人資料外洩,因此被判 7 億美元的巨額罰款。

FTC 表示,如果有任何企業未能依法立即處理已知的 Log4j 漏洞,或是未來任何已知的資安漏洞,因而造成顧客資料損害,FTC 將動用一切司法行政能力,對這類企業進行裁罰。

FTC 要求各企業依照美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)提出的指南,加強應對 Log4j 漏洞,包括將使用 Log4j 程式庫的軟體更新至最新版本、依照指南強化資安防護能力與布署、確認所有步驟符合上述法律的要求,並且將相關訊息通報所有相關關係人,例如軟體供應商、代理商等。

回頁首