2013年7月，一名自稱“和平”(Peace)的黑客向美國能源部(US Department of Energy)的電腦上傳了一串惡意代碼。該部負責監(jiān)督美國的核武器計劃、電力生產(chǎn)以及其他至關(guān)重要的國家利益。

“和平”很走運，他獲得了大量的機密個人數(shù)據(jù)，包括雇員姓名、社會保險號碼和銀行帳戶資料。

“噢耶耶耶耶”，他在一個在線聊天室輸入道，“我是不可戰(zhàn)勝的！！！經(jīng)過逾24小時的努力，終于攻陷了能源部網(wǎng)站。”

檢方稱，“和平”的真名是勞里·洛夫(Lauri Love)，是英格蘭薩福克郡一名30歲的居民。他和未被點名的同伙相對輕松地就獲得了美國能源部系統(tǒng)的“無限訪問權(quán)限”，并在能源部的電腦上進行了超過600次檢索。利用Adobe公司ColdFusion軟件程序的一個已知（但未修補）的漏洞，這些被指控的黑客得以闖入系統(tǒng)，竊取了美國能源部超過10.4萬名現(xiàn)任及前任雇員的個人信息。

三份獨立的刑事訴狀顯示，洛夫還涉嫌使用同樣的手段侵入了美聯(lián)儲(Federal Reserve)、美國國家航空航天局(NASA)、美國國家環(huán)境保護局(EPA)、美國陸軍(US Army)和美國導彈防御局(MDA)。美國能源部遭黑客攻擊是當時最嚴重的政府雇員信息泄露事故之一，而該部的監(jiān)督機構(gòu)表示，此次事故本來是可以避免的。

能源部監(jiān)察長格雷戈里·弗里德曼(Gregory Friedman)在調(diào)查此次黑客事件后總結(jié)稱：“黑客所利用的漏洞在2013年1月就被（美國軟件公司Adobe）明確指出了。”

雖然后果很嚴重，但像能源部遭黑客攻擊之類的事件并不罕見。雖然美國科技行業(yè)領(lǐng)先世界，但在當今網(wǎng)絡攻擊者頻繁且技術(shù)含量較高的攻擊面前，美國政府（包括處理對國家安全至關(guān)重要信息的聯(lián)邦機構(gòu)）的計算機系統(tǒng)嚴重準備不足。

美國各政府機構(gòu)的脆弱性一直不難發(fā)現(xiàn)。奧巴馬政府最近承認，黑客通過對政府人力資源部門——美國人事管理局(Office of Personnel Management)的兩次攻擊，竊取了約2500萬聯(lián)邦雇員的私人信息。第二次侵入是美國政府機構(gòu)歷來遭遇的最大規(guī)模網(wǎng)絡攻擊。美國人事管理局局長已為此辭職。

美國議員將黑客攻擊激增視為新冷戰(zhàn)的證據(jù)，而美國正在輸?shù)暨@場戰(zhàn)爭。無論攻擊者是一個國家（中國據(jù)信要對美國人事管理局遭侵入負責），還是像洛夫及其同伙之類的小群體，對手往往比美國政府更懂技術(shù)，也更加靈活。紐約、新澤西及弗吉尼亞三地的檢方都對洛夫提出了指控，但他尚未被要求引渡。記者聯(lián)系不上洛夫請其置評。

中國與俄羅斯在實施網(wǎng)絡攻擊方面變得越來越咄咄逼人，使得美國國防和情報官員不情愿地承認佩服。

“對于中國人的所作所為，你不得不在一定程度上表示敬佩，”美國國家情報總監(jiān)(DNI)詹姆斯·克拉珀(James Clapper)在談到美國人事管理局被攻擊時表示。

英國《金融時報》對政府機構(gòu)監(jiān)察長、美國政府問責局(Government Accountability Office)以及白宮行政管理和預算局(Office of Management and Budget)發(fā)表的幾十份報告的分析表明，多年來，在24家被要求報告自身網(wǎng)絡防御情況的聯(lián)邦機構(gòu)中，超過半數(shù)沒有采取最基本的安全措施。這些措施包括安裝軟件補丁以堵住漏洞、使用強認證技術(shù)，以及不間斷監(jiān)測系統(tǒng)以保障其采集的雇員、退役軍官及政府計劃數(shù)據(jù)。

對數(shù)以千計文件的查閱，以及對現(xiàn)任及前任政府官員的采訪，都顯示出政府機構(gòu)所面臨的深度挑戰(zhàn)。對于記者一再提出的討論報告發(fā)現(xiàn)的請求，多數(shù)聯(lián)邦機構(gòu)的官員要么拒絕置評，要么根本不回電。

今年，美國政府新任首席信息官托尼·斯科特(Tony Scott)對國會表示：“如今的核心問題之一是，我們手上的這些老式設備在設計或建造時不存在這樣的威脅。”

黑客成功侵入政府機構(gòu)并竊取高度敏感信息的次數(shù)近年激增。今年，黑客闖入美國國稅局(IRS)系統(tǒng)，竊取了10萬個稅務賬戶。去年，對美國郵政服務(US Postal Service)的網(wǎng)絡攻擊曝光了其80萬雇員的敏感信息。美國國務院(State Department)和白宮去年曾表示，它們的非機密系統(tǒng)遭到入侵；官員們認為那是俄羅斯政府所為。

白宮網(wǎng)絡安全協(xié)調(diào)員邁克爾·丹尼爾(Michael Daniel)不久前稱：“我們的私營和公共部門都必須提高網(wǎng)絡安全水平。”

包圍之下

根據(jù)白宮行政管理和預算局的數(shù)據(jù)，自2006年以來，聯(lián)邦機構(gòu)遭遇“事故”的次數(shù)（包括網(wǎng)絡釣魚、惡意軟件附件以及未經(jīng)授權(quán)的雇員訪問）上升了1100%，至2014年的67168次。官員們稱，數(shù)量增加在一定程度上反映出這些機構(gòu)探測攻擊的能力有所增強。

國土安全部(Department of Homeland Security)助理部長安迪·奧茲門特(Andy Ozment)對國會表示：“整個國家如今在彌補過去20年期間對公共和私營部門網(wǎng)絡安全的投資不足。”

奧巴馬政府近年漸進增加了聯(lián)邦政府的信息技術(shù)支出，從2013年的786億美元增至2016年預算提案中的863億美元。對2015年，奧巴馬政府起初建議削減3%的預算，后來才增加預算。在預算問題上與國會的爭吵以及對削減開支的關(guān)注加劇了困難。

雖然更多資金將有所幫助，但官員們也指出了一些問題，比如招聘中的官僚主義壁壘、具有挑戰(zhàn)的采購流程和糟糕的預算編制（數(shù)千萬美元被浪費在了搞砸的軟件升級上）。

特拉華州民主黨參議員湯姆·卡珀(Tom Carper)對英國《金融時報》說，去年通過的兩部給聯(lián)邦機構(gòu)首席信息官在信息技術(shù)預算方面更大權(quán)限的法律，將有助于朝向網(wǎng)絡安全現(xiàn)代化“大步跨越”。

“但在網(wǎng)絡安全問題上，國會不能滿足于已有的成績——我們還有更多的工作要做。國會應該立即授權(quán)并撥款資助最新一代網(wǎng)絡防御技術(shù)，以降低我國政府未來遭遇網(wǎng)絡侵入的可能性，”他說。

美國聯(lián)邦機構(gòu)往往使用的過時設備意味著，現(xiàn)代網(wǎng)絡防御技術(shù)——例如實行讓所有用戶、應用程序和設備都必須得到驗證的“零信任”方式（如今VMware、Palo Alto Networks以及思科(Cisco)等公司提供軟件的常見功能特點）——無法發(fā)揮作用。對于老舊的信息技術(shù)基礎(chǔ)設施（如美國人事管理局的古董級網(wǎng)絡）而言，也不可能進行加密。該局的網(wǎng)絡安全狀況如此糟糕，以至于在最近一次被黑客侵入的前一周，其監(jiān)察長就建議關(guān)閉網(wǎng)絡然后從頭開始。但該局拒絕這樣做。

“一個情報寶藏！”

強身份認證意味著比用戶名和密碼更多的驗證要求，比如雙因素認證，要求使用登錄+安全碼或個人身份驗證(PIV)卡。此類認證已經(jīng)是許多企業(yè)的基本程序，而且經(jīng)常用于Gmail等免費在線服務。白宮行政管理和預算局在2月表示，美國國務院、美國勞工部(Department of Labor)以及美國人事管理局等一些機構(gòu)沒有實施雙因素測試，而在24個聯(lián)邦機構(gòu)中，有15個機構(gòu)未能達到至少一半用戶遵守程序。

白宮行政管理和預算局在提交美國國會的年度報告中寫道：“這一統(tǒng)計數(shù)字具有重大意義，因為重大網(wǎng)絡事故往往與缺乏強大的身份驗證程序有關(guān)。”

現(xiàn)任和前任官員均表示，舊技術(shù)的層層累積，業(yè)務分布廣泛，以及每天24小時/每周7天的網(wǎng)絡連接需要，構(gòu)成了大量安全挑戰(zhàn)。一位審計總監(jiān)在談到他負責審計的機構(gòu)存在的漏洞時表示：“我們正試圖在已經(jīng)被切斷的頸動脈上貼創(chuàng)可貼。”

許多聯(lián)邦機構(gòu)甚至搞不清本部門IT的基本情況，比如美國能源部遭到黑客攻擊后，一名雇員刪除了一個數(shù)據(jù)文件，卻不去調(diào)查洛夫入侵時產(chǎn)生的流量。政府在評估時發(fā)現(xiàn)，許多部門不清楚自己在運行多少IT系統(tǒng)。

國土安全部監(jiān)察長2014年12月的一份報告顯示，就連該部的網(wǎng)絡防御水平也被發(fā)現(xiàn)在某些領(lǐng)域參差不齊，尤其是在聯(lián)邦緊急事務管理署(FEMA)。國土安全部職責眾多，包括監(jiān)督外來移民，對外國游客進行背景調(diào)查，理論上該聯(lián)邦機構(gòu)還應幫助其他機構(gòu)更好地應對網(wǎng)絡風險。

美國官員稱，在美國人事管理局受到的第二次網(wǎng)絡攻擊中，中國獲得了2150萬美國居民的背景檔案，包括他們的海外關(guān)系，他們的朋友，他們的財務信息以及他們的工作履歷。

前眾議員邁克·羅杰斯(Mike Rogers)說：“這對中國方面是個情報寶藏。為什么這件事沒有引起更大的憤慨？這告訴我，我們距離解決這一問題還差多遠。”羅杰斯在擔任眾議院情報委員會主席時曾經(jīng)倡導加強網(wǎng)絡防御。“每個（機構(gòu)）都需要付出認真努力糾正這一問題，采用更好的技術(shù)，這需要花錢。”

羅杰斯表示，應該追究美國政府的責任。他說：“人們是自愿填這些表格、陳述自己的生活細節(jié)的，如果你要令他們面臨風險，那么你就有一定的責任（保護這些數(shù)據(jù)）。”被曝光的信息里也包括了羅杰斯的信息。

落后10年

在“和平”涉嫌發(fā)動網(wǎng)絡攻擊的半年前，美國能源部內(nèi)部的一個部門就已識別了軟件漏洞。但該部監(jiān)察長發(fā)現(xiàn)，該機構(gòu)推遲支出4200美元購買新版軟件。根據(jù)能源部監(jiān)察長的計算，網(wǎng)絡入侵事件造成了至少370萬美元的信用監(jiān)督和生產(chǎn)力損失。

一些機構(gòu)在IT方面責任不清，這往往意味著無人負責。而且如果提高網(wǎng)絡安全與機構(gòu)的主要職能發(fā)生抵觸，修補措施常常被擱置。

面對有關(guān)安全漏洞的一再警告，美國國務院仍缺乏應對，這其中的風險和受挫感促使國務院監(jiān)察長史蒂芬·利尼科(Steven Linick)請求國會撥款建立一個專有網(wǎng)絡。國務院除了負責外交關(guān)系，還掌管著大量簽證和護照數(shù)據(jù)。利尼科今年表示：“我希望這個網(wǎng)絡與國務院完全脫離，以確保我們系統(tǒng)的完好性。”

羅伯特·布雷澤(Robert Brese)是美國能源部遭到“和平”入侵時IT系統(tǒng)的負責人，他哀嘆美國政府的IT技術(shù)比私營部門落后了10年。

布雷澤于2014年離開了能源部。他表示：“與私營部門最優(yōu)秀、最明智的機構(gòu)相比，美國政府在老設備現(xiàn)代化，以及構(gòu)建安全、強韌的系統(tǒng)方面，有很多地方要落后若干年甚至10年。我指的還不是谷歌(Google)和亞馬遜(Amazon)這樣的科技先驅(qū)，而是像福特(Ford)這樣的老牌企業(yè)。”