编者按:
此前,本公号发表过的关于保护网络和信息系统安全的相关文章包括:
今天和大家分享的是关于拜登政府对网络安全的政策的一则报道。
拜登总统即将批准一项政策,该政策比以往任何保护私营公司免受恶意黑客攻击的努力都走得更远,并且以我们自己的网络攻击来报复这些黑客。
这份35页的文件名为"国家网络安全战略",与过去四分之一世纪以来由总统们签署的十几份类似文件有两个重大区别。首先,它对广泛的美国产业施加了强制性规定。第二,它授权美国国防、情报和执法机构采取攻势,侵入犯罪分子和外国政府的计算机网络,以报复或阻止他们对美国网络的攻击。
根据Slate独家查看的一份草案,"我们的目标是使恶意行为者无法发动持续的网络活动,从而威胁到美国的国家安全或公共安全",该文件在题为"瓦解和破除威胁活动"的五页中指出。(该文件尚未公开发布,但在拜登签署后会公开发布,预计在本月的某个时候会发布)。
根据新的战略,美国将"破坏和拆除"敌对网络,此为一个持久的、持续的运动的一部分。这场运动将由联邦调查局的国家网络调查联合工作组与所有相关的美国机构合作协调——这是一种系统性的合作,以前很少有人尝试过,也从未公开过。私营公司——既包括经常成为网络攻击目标的公司,也包括专门研究网络安全方法的公司——将成为这项工作的正式伙伴,既提醒政府工作组注意入侵行为,也帮助击退入侵行为。(过去,许多这些公司,特别是硅谷的公司,一直不愿意被看到在这些问题上与政府合作)。
新战略——在白宫高级官员的监督下,在2022年的大部分时间里都在酝酿之中——源于对两个事实的日益认识,这两个事实对专家来说早已是显而易见的。
首先,单纯的网络安全准则——华盛顿以前允许私营公司自愿遵守——在大多数情况下,未能阻止外国政府或网络犯罪分子的重大入侵行为。
其次,纯粹的防御性措施也影响有限,因为聪明的黑客最终会找到绕过它们的方法。
美国几十年来一直在进行网络进攻行动。比尔·克林顿是第一位公开承认这一事实的总统。2012年,巴拉克奥巴马发布了第20号总统政策指令,建立了严格的控制,包括所有网络进攻行动都需要总统的明确许可。·(它被列为最高机密,是爱德华-斯诺登泄露的许多文件之一)。2018年,特朗普总统签署了第13号国家安全总统备忘录,该备忘录放松了这些控制,给予国防和情报机构巨大的裁量余地,让他们自己发动进攻性行动。
保罗·中曾根(Paul Nakasone)将军曾是并仍然是国家安全局局长和网络司令部主任(这两个职位一般由同一位四星军官担任),是这种做法的主要倡导者。在他后来为《外交事务》撰写的一篇文章中,他将具有更大自由度的任务描述为 "向前追击"和 "持续接触"。
当时,许多人担心严格控制攻击的结束,会释放出过度和反击,并最终损害安全。但是,正如一位曾经属于恐惧者的官员上周告诉我的那样,"那些可怕的事情都没有发生。"
因此,拜登和他的团队决定进一步推动特朗普-中曾根的政策。拜登即将批准的战略只涵盖那些旨在破坏敌对行为者入侵美国网络的企图的进攻性行动。但与此同时,五角大楼正在起草一项新的网络战略,该战略将白宫文件的原则应用于网络政策,包括防御性和广泛的进攻性。
拜登文件的其他部分——其中有30页涉及纯粹的防御性措施——概述了对保护国家"关键基础设施"的现行政策的更大偏离。"关键基础设施"一词是在20世纪90年代中期提出的,指的是对现代社会至关重要并与计算机网络相连的经济部门,如银行、金融、电力、水利工程、运输系统、电信和应急管理服务等,这意味着它们容易受到网络攻击。
比尔·克林顿、乔治·W·布什和巴拉克·奥巴马总统都签署了命令并设立了机构,以加强这些行业的复原力。三位总统的一些助手都试图对这些部门的公司实施强制性的网络安全法规,但企业游说者成功地抵制了他们的努力。一些经济顾问也是极力反对强制性法规,他们警告说(也许是正确的),法规会遏制创新。因此,直到现在,这些规则的执行一直是严格的自愿性的。
新的战略源于一种认识,即在这些部门中的大多数自愿措施都不起作用。但也有例外,比如银行。网络安全是其业务的核心;如果他们经常受到黑客攻击,客户就会把他们的存款转移到其他地方;银行也有足够的钱来雇用非常好的专家。然而,对于公共事业,如发电厂,网络安全是非常昂贵的。需要有强制性的法规来促使他们采取行动。
同时,新战略认识到,所有行业的统一标准——过去总统的一些助手试图制定这样的标准——也是行不通的。作为替代方案,一年多以前,拜登白宫开始分析每个部门,并与负责每个部门的联邦机构以及将受法规影响的公司进行磋商。
例如,据一位官员说,TSA确定了97条石油和天然气管道,这些管道至少为25000名美国人提供服务。然后,白宫与拥有这些管道的公司的高管举行了三次会议。在一次会议上,在通过安全审查后,情报官员向高管们介绍了他们的管道所面临的威胁。
背景是拜登的战略与早期试图实施监管的另一大区别。就在几年前,许多企业高管认为网络威胁是理论上的。现在,他们显然不是这样。2020年,俄罗斯对SolarWinds的大规模黑客攻击——它影响了3万多个涉及关键基础设施的机构和公司的计算机上的系统管理工具——是一个重要的警钟。2021年,一个犯罪团伙对Colonial Pipel的勒索软件攻击——它关闭了流向17个州的汽油和航空燃料,直到Colonial向黑客组织支付75个比特币(当时价值440万美元)——是另一个事件。
如果采取了最基本的安全措施,Colonial黑客事件就不可能发生。这也是导致拜登对管道实施强制性监管的一个重要原因。新战略将这种规定推广到其他关键行业。
奥巴马的网络政策协调员迈克尔-丹尼尔(Michael Daniel)现在是网络威胁联盟(一个由安全供应商和IT公司组成的非营利组织)的负责人,他告诉我:"商业思维肯定有了转变。如果你的电子表格被破坏是一回事,如果是你的心脏起搏器,则是另一回事。由于认识到网络攻击可以造成物理损害,某种程度的政府监管是不可避免的。"
这些公司中的许多还在国外做生意,那里的法规要严格得多。如果他们需要遵守欧洲、澳大利亚或加拿大的法规,他们也可能在这里遵守这些法规。
尽管如此,新战略不会解决所有的问题。有几个部门——包括食品和农业、应急服务和几个制造业——需要国会通过授权来进行监管。而新的国会,至少在众议院方面,似乎对通过很多东西不感兴趣,更不用说对企业的额外监管。(完)
DPO线下沙龙的实录见:
关于业务场景中数据跨境流动的文章如下: