據外媒CNET報導，美國立法者和證人周五在眾議院監督和國土證券委員會的聽證會上表示，網絡安全方面的最大問題導致了持續的黑客攻擊活動，該活動將IT軟件公司SolarWinds的產品更新作為“武器”。無論是網絡安全人員的缺乏，私營公司和聯邦政府之間的溝通不暢，還是缺乏可接受的間諜黑客行為的全球標準，長期以來的問題都在發揮作用。

解決方案早已在醞釀中，但這些解決方案不足以阻止一個疑似俄羅斯黑客組織進入9個聯邦政府機構和約100家私營公司的系統。在聽證會上，現任SolarWinds首席執行官Sudhakar Ramakrishna和前任首席執行官Kevin B. Thompson、微軟總裁Brad Smith和FireEye首席執行官Kevin Mandia一起就黑客入侵的因素進行了作證。

來自紐約的共和黨人約翰-卡特科說，黑客組織表明它可以利用美國網絡安全的無數弱點。他表示，更糟糕的是，他們並不擔心他們的行動會帶來任何後果。“他們在現代軍備競賽中獲勝，我們需要加大力度。”

黑客活動很複雜，攻擊者在SolarWinds的Orion產品的更新版中加入惡意軟件。數千家實體下載了受感染的更新，黑客隨後集中在選定的目標上進行進一步入侵。然而，正如立法者周三在參議院情報委員會上討論的那樣，黑客還濫用其他公司的服務，而不僅僅是SolarWinds的服務，入侵了大約30%的目標。

雖然過去人事管理辦公室，Equifax和民主黨全國委員會的重大入侵事件促使一些變化，但保護美國系統的系統仍然存在重大缺陷。進一步的改變可能有幾種形式。

Smith和Mandia都表示支持要求公司與聯邦政府分享系統被入侵的信息。目前，網絡安全和基礎設施安全局負責許多此類報告，立法者主張將信息更好地流向政府其他部門。此外，SolarWinds的Ramakrishna表示，該公司希望與其他公司分享它所學到的東西，有可能導致更好的保障軟件更新的系統。

Ramakrishna還強調，需要迅速加強政府機構和科技公司之間的協議，建立明確的溝通渠道，以便更快地做出安全反應，特別是當一個複雜的攻擊者襲擊時。“在這種情況下，他們在很多方面表現得像變形玩具，不斷變形，並改變他們對我們的戰術和程序，”Ramakrishna說。

Smith回應了Ramakrishna的呼籲，強調了他所說的障礙，他說這些障礙減緩了微軟向機構發出SolarWinds黑客警報的努力。

“政府合同對微軟和其他政府承包商在這種情況下的限制，”Smith說。“我們發現，我們只能通知作為受害者本身的機構，我們不得不要求他們去和另一個人或個人或政府的一部分談話。”

當被問及未來的預防工作時，Smith表示，政府應該建立更好的“道路規則”，包括通過立法，以平息這種大規模入侵事件的後果。

“如果你抓住了從事違法行為的人，你需要追究他們的責任，你需要多種方式來做到這一點，”Smith告訴小組。

被指控的黑客的後果可能很快就會到來，據報導，喬·拜登政府正在考慮對涉嫌攻擊的人進行製裁。但沒有跡象表明，國際社會即將就什麼算作間諜機構的境外黑客行為達成協議。