美候任国家网络总监和CISA局长:勒索攻击是国家安全的重大威胁
在当地时间6月10日举行的参议院确认听证会上,对英格利斯(Chris Inglis)和伊斯特利(Jen Easterly)将如何处理这些紧迫问题有了最深入的了解。提名者称勒索软件是威胁国家安全的“祸患”,誓言要与关键的基础设施公司合作,提高它们的防御能力,并呼吁,有必要制定额外的联邦法规,以激励公司减少它们在黑客攻击方面的弱点。
两个月前,美国总统乔•拜登(Joe Biden)宣布了他的两项最重要的参议院网络安全职位提名:国土安全部(Department of Homeland Security)网络安全部门负责人珍•伊斯特利和国家网络总监克里斯•英格利斯。
英格利斯和伊斯特利是两名经验丰富的国家安全局(National Security Agency)资深官员,如果得到确认,他们面临着艰巨的任务。
打击勒索软件攻击
在此期间,勒索软件攻击迫使美国的一条主要输油管道和一家大型肉类供应商暂时关闭。拜登已经暗示,他将在下周与俄罗斯总统普京(Vladimir Putin)会晤时提出窝藏黑客犯罪的问题。
英格利斯说,美国政府必须“夺回主动权,这一主动权已经被犯罪分子和流氓国家占据太久了,而这些国家主导了实施犯罪的时间和方式。”他呼吁美国及其盟友“摧毁(勒索软件罪犯的)庇护所,并让那些威胁我们的人承担后果。”
伊斯特利也以类似的紧迫感说:“我们现在处于这样一个境地:民族国家和非民族国家的威胁行为者在很大程度上利用网络空间威胁我们的隐私、我们的安全和我们的基础设施,而不受惩罚。”
英格利斯将成为美国国历史上首位国家网络总监,这是国会授权的一个新岗位,旨在让政府更好地应对包括勒索软件攻击在内的重大黑客攻击。伊斯特利将接管国土安全部的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA),该机构不仅负责保护联邦民用网络免受勒索软件的侵害,还负责保护联邦民用网络免受间谍活动的侵害,比如据称俄罗斯利用SolarWinds软件进行的间谍活动。
这两人将与愿意增加网络安全支出的国会合作。
众议院将为CISA的2022年预算提供4亿美元的额外资金。白宫在2022财政年度为CISA申请的可自由支配资金总额为21亿美元。
从医疗保健到制造业,接连不断的勒索软件事件让许多公司举步维艰,要想阻止这些事件的发生,需要的不仅仅是金钱。据追踪虚拟支付的Chainalysis公司称,2020年,受害者支付的加密货币勒索软件金额增长了311%,达到近3.5亿美元。
colonial管道公司和肉类加工公司JBS分别向勒索黑客支付了440万美元和1100万美元,以挽回他们受到的勒索软件攻击。这引发了美国国会的批评,认为企业助长了没有减弱迹象的犯罪经济。
当被要求就这个问题发表意见时,英格利斯告诉议员们,重要的不是要追究那些支付赎金的公司的责任,而是要追究那些一开始就不得不支付赎金的公司的责任,要追究他们没有做好网络安全的充足准备。
他将勒索软件比作一场可以控制而不能扑灭的火灾。
英格利斯说:“我们需要做的是让这些系统抗得住攻击。”“他们永远不会安全。”
英格利斯补充说,通过实施基本的安全实践,如多因素认证、软件补丁和网络分隔,安全人员可以化解绝大多数的威胁。伊斯特利表示,CISA的职责是通过提供技术指导和威胁信息,“防止人们陷入”不得不支付赎金的境地。
colonial管道公司遭黑客攻击后,美国运输安全管理局(Transportation Security Administration)首次要求管道运营商满足强制性的网络安全要求。管道运营商被要求在检测到黑客攻击事件后12小时内向CISA报告,如果不遵守安全准则,将面临7000美元(约合人民币6700元)的罚款。
管道法规是对能源行业的监管,一些立法者和政府官员想知道是否有必要出台更多的监管规定。
伊斯特利表示,在促使关键基础设施公司提供充分的网络安全保护方面,显然“自愿标准可能无法完成工作”。
她补充说:“可能会有某种作用,使其中一些标准成为强制性的,包括通知。”“我认为重要的是,如果发生重大的网络事件,关键的基础设施公司必须通知联邦政府,特别是CISA。我们必须能够警告其他潜在的受害者。”
英格利斯对此表示赞同。
他说:“当(私营企业)进行关乎国家利益的关键活动时,我们很可能需要介入,我们需要像我们对航空业和汽车业所做的那样,进行监管或授权。”
国家网络总监的“教练”角色
在解释她如何看待CISA局长与国家网络总监合作时,伊斯特利表示,她认为CISA是国家网络应对的“四分卫”,而英格利斯将在确保国家免受网络威胁方面担任“教练”。
伊斯特利在听证会上表示:“我认为国家网络总监是一个关键的合作伙伴,基本上是负责监督网络战略和政策实施的团队的教练,并真正为联邦网络生态系统带来连贯性和团结的努力。”
英格利斯认同这一观点,在面对如何更好地保护自己免受更广泛的网络攻击的问题时,英格利斯说,国家需要创造更大的应变能力,因为网络攻击不会“自动停止”。
他说:“这并不是一场席卷草原的大火,一旦消耗了燃料,它就会停止燃烧,我们只需等待那一刻。我们必须站出来。”英格利斯说。“我们必须不仅在技术上,而且在人身上创造弹性和健壮性。我们必须使行动与后果相一致;行为良好应该有好处,行为不良应该有负面后果。”
英格利斯再次强调了合作的重要性,不仅是在公共和私营部门,而且是在国际上。
“我们应该让这不仅仅是一个网络上的网络问题,”英格利斯说。“我们应该以一种巨大的合作方式来承载所有的权力工具,不仅是私人和公共部门,而且是国家的多元化。”志趣相投的国家需要铲除庇护所,并让那些将我们置于危险之中的人承担后果。”
2021年NDAA规定了国家总监的几项具体职责,包括:
领导联邦政府在网络问题上的统一努力;
制定和实施国家网络战略;
协调联邦民用预算、政策和计划;
促进公私协作;
提高网络系统的弹性、健壮性和防御能力。
CISA的”四分卫“角色
伊斯特利说,如果得到确认,她将把重点放在几个方面,包括“确保我们有执行任务的能力”,包括足够的资金和权力,但“主要是人”。其他主要关注领域将包括确保CISA拥有“所需的操作和技术可见性”,以及取得成功的“正确的伙伴关系”。
伊斯特利还将CISA局长定位为联邦网络安全领域的“四分卫”角色,其首要职责是管理和降低风险,并与各级政府和私营部门合作,确保关键基础设施的安全性和弹性。
“在联邦网络生态系统中,CISA是‘四分卫’,负责保护和保卫联邦民用政府网络;主导网络事件资产响应;并确保及时和可行的信息在联邦、非联邦和行业伙伴之间共享,”她说道。
“然而,最好的”四分卫“不能独自赢得比赛;伊斯特利说:“网络行动是而且必须永远是一项团队运动。”“CISA与政府各级其他机构以及我们的行业和国际合作伙伴合作,在国家网络和基础设施恢复方面发挥主导作用。这个生态系统的一个关键因素是国家网络总监,作为总统的首席网络顾问,他将确保联邦政府的努力连贯一致,”她说。