雖然奧巴馬總統投入了時間、精力和政治資金來改善網絡安全,結果卻不盡人意。
奧巴馬總統才離任幾周,但他在網絡安全方面的遺產已在評定進行時——褒貶不一的評價。
一些專家評價道:奧巴馬說了很多,做了很多,投入了大量的精力來推動網絡安全,但最終,并沒有達成讓政府或私營產業更加安全的目標。
最近一系列的數據泄露事件,就是赤裸裸的明證。美國情報機構將罪責歸結到俄羅斯頭上,然而民主黨總統候選人希拉里·克林頓以及美國總統大選本身的信譽,已然遭到傷害。
正如反間諜咨詢機構 Murray ASSOciates 總監凱文·穆雷所言:“政府想制定多少政策都可以,但如果不能解決問題,要來何用?”
或者,像 Red Branch Consulting 創始人,小布什任期內國土安全部官員,Lawfare博主保羅·羅森茨威格所說:“他們有工具,僅僅是在芯片宕機的時候選擇了不使用工具而已。我也不知道為什么。”
這問題可大了,畢竟,政府的首要憲法義務,就是“提供共同防御”不是?過去十年,網絡安全已上升與軍事或司法安全同等重要的級別。網絡攻擊的潛在傷害,已從無關緊要水平,提升至可致嚴重后果的程度。
在物理層次,高級政府官員數次警告了民族國家、恐怖分子或犯罪團伙進行“網絡珍珠港”攻擊的風險。國家關鍵基礎設施漏洞的報道也不斷見諸報端。
在經濟層次,前國家安全局(NSA)局長兼美國網絡司令部司令亞歷山大將軍,在2012年就說過:經濟間諜,尤其是中國的經濟間諜行為,已經導致了人類歷史上最大數額的財富轉移。
當然,這些并非奧巴馬的無視造成的,相反,他在任期之初就將網絡安全提上了優先日程,幾乎每次國情咨文必提網絡安全重要性。在他監管下的項目、命令、政策和立法清單簡直又長又閃亮。包括:
2009年2月,奧巴馬下令審查政府網絡安全狀態。5月,宣布“網絡空間策略評估”,期望形成白宮主導的“協同網絡安全計劃”,旨在“遏阻、預防、檢測和防御”網絡攻擊。
2009年6月,自2006年暫行的美國網絡司令部成為永久編制。目標是擁有雇員6000人,但直到去年,據稱依然缺編1/3,不過,專家普遍達成共識,美國擁有“世界上最強大的網絡武器庫。”
為響應奧巴馬在2013年發出的總統令,國家標準與技術局(NIST)在2014年2月發布了《網絡安全框架》——一份私營和公共產業都應遵守的標準,至今已歷經多次修訂。最新的更新草案,旨在提升關鍵基礎設施安全性,于今年1月奧巴馬離任前不久頒布。
2015年6月,政府發布了 M-15-13 —— 要求聯邦網站和Web服務必須使用安全連接的一項政策,截止2016年12月31日,所有機構都必須使用加密HTTPS網站和Web服務。
美國總務署報告,截至本月,雖然合規率遠未及100%——政府域名和子域名合規率在43%到73%之間,在HTTPS上政府已超過了私營產業。
2015年9月,奧巴馬與習近平主席達成停止經濟間諜的共識。聯合聲明稱:“兩國政府都不進行或知情支持知識產權的網絡盜竊”。雖然不能徹底解決問題,還是在減少網絡經濟間諜上起到了作用。
《網絡信息共享法案(CISA)》被國會通過,并于2015年12月受奧巴馬簽署,旨在促進政府和私營產業間威脅信息的共享。反對者依然指稱該法案為“監視法令”,但贊成者認為,改善國家網絡安全的任何希望,都需要私營和公共產業的協作。
不幸的是,這些行動,連同其他一些計劃,并不總能達到預期的效果。過去8年間的安全失敗眾所周知,某些案例,甚至是災難性的。或許,最糟糕的一起黑客事件,是據稱中國所為的人事管理局(OPM)數據泄露案,約2200萬在職和離任聯邦雇員個人數據被泄。
美國一家律師事務所網絡安全部的負責人認為,美國政府如今的網絡安全水平,如果放在整個美國經濟圈里看,那是相當“不體面”的。而前情報官員協會(AFIO)董事阿倫·坦特雷夫,則將其稱之為“史詩級的失敗。”
預算管理辦公室(OMB)發起了一個所謂的“30天網絡安全沖刺”,想要提高各方各面的安全水平,從身份驗證到威脅檢測。然而,來得太遲了——在數據泄露曝光之后。
其他著名的失誤包括:
美國陸軍上等兵布拉德利·曼寧(現變性并改名為切爾西·曼寧)和前NSA承包商雇員愛德華·斯諾登泄出的百萬份機密文件,不僅損害了政府關于沒有對美國公民進行監視之聲明的信譽度,也表現出政府根本無力防御內部人威脅。
2011和2015年,總統兩度嘗試啟動立法,“提升美國人民、國家關鍵基礎設施,以及聯邦政府自有網絡和計算機的網絡安全。”
但是,每次提案都沒有結果,部分原因是國會意見分歧,另外一部分原因,則是來自人權和隱私保護團體的反對。
自2004年其便已存在,歷經數次迭代的聯邦“愛因斯坦”網絡威脅檢測和預防系統,于2015年被DHS升級至“愛因斯坦3加速版”。
但其遭到了專家、前政府官員和國會成員的批評,說是在完全實現前就已過時——實現的截止日期是去年12月。格雷格·陶希爾,DHS網絡安全運營和項目助理副部長,曾在2015年11月說過那么一句著名的話;“愛因斯坦3簡直就是我們15年前就該有的東西。”
歸罪于俄羅斯的DNC及希拉里總統競選主席約翰·波德斯塔郵箱被黑案。維基解密在競選最后幾周放出了來自被泄郵箱的敏感信息。
以上安全失敗的可能原因如下:
首先,無數專家都說過,基本上,政府是不可能趕上這些威脅的進化和擴張的。就像羅森茨威格在訪談中所說:“政府時速60邁,互聯網創新時速可是6,000邁。”
其他人則說,其間差距有幾個數量級那么大。
物聯網設備間的海量連接,其他各種設備上的安全缺失,再加上合格網絡安全專家的稀缺,漏洞的出現毫不令人意外。
其次,在關鍵基礎設施大多屬于私營公司之手的情況下,政府也是很難管理其在線安全的。不是出臺強制性規定和嚴厲的未合規處罰,政府主要是頒布各種建議和推薦參考。
再次,在跟私營產業競爭人才上,政府處于下風。
“聯邦政府一直拍馬不及,因為它支付IT員工的薪水要受到政府薪酬范圍的限制。” Fidelis Cybersecurity 威脅系統經理約翰·班白尼克說,“對有經驗有激情的IT員工來說,私營產業收獲更多,是更有吸引力的職業選擇。”
更新服務器和筆記本可沒有其他消費項目來得性感迷人。沒有國會議員曾經出席過新計算機發售的剪彩。
——約翰·班白尼克, Fidelis Cybersecurity 威脅系統經理
但是,專家也稱,確實有些事情是政府可以,也應該,做得更好的。普萊斯說,“安全需要防護措施和遏阻對策。在前者上我們做對了,但我們依然遭受外國黑客攻擊的事實說明,在遏阻層面我們依然還有許多工作要做。”
坦特雷夫指出,有些漏洞一直留存,因為我們選擇出于安全原因而保留它們——簡直太奇怪了。
這里,他指向的是前白宮網絡安全協調員邁克爾·丹尼爾。這位仁兄稱辯稱:“公開漏洞,意味著我們可能放棄的,是收集可摧毀恐怖襲擊、阻止國家知識產權被竊,甚或發現更危險可利用網絡漏洞的機會。”
丹尼爾還說,打造“巨大的未公開漏洞庫”可能不在國家利益之列。當然,“巨大”一詞的定義恐怕會引發巨大的爭議。
政府改善安全狀態的一個明顯途徑,就是更新其技術。專家稱,近4萬億美元的預算支持下,當然有錢來改進硬件和軟件。但是,似乎這方面的政治意愿尚有不足。
“只要涉及到花錢,安全總是排在其他東西后面。”班白尼克說,“更新服務器和筆記本可沒有其他消費項目來得性感迷人。沒有國會議員曾經出席過新計算機發售的剪彩。”
最后,政府不僅需要關注黑數據的人,還需要聚焦放任這些事件發生的那些人。除非要求追責,否則政府得不到更好的結果。基本上,每個安全失敗,包括OPM數據泄露案,負責人都被允許辭職——意味著他們還能保有退休金和所有其他政府津貼。
焦躁很多,而行動不足。必須有人為持有這些信息負責。肯定要支付某人大量薪水,然后告訴他“如果在你眼皮底下泄露了,你就要為此負責”。
“只要這么做了,人們就會開始重視起來。”
最終,如果重要的是結果,奧巴馬留下的東西可真令人傷心。最近新出了一本題為《全球網絡漏洞報告》的書,里面評估了44個國家的網絡漏洞,美國在安全度上位列第11位。
“很難讓人相信這一結果對奧巴馬的網絡安全遺產有何幫助。”
特朗普治下會不會有什么改善我們尚未可知,但有些早期征兆可真是令人擔心。
國際計算機科學研究所高級研究員尼古拉斯·委弗,在Lawfare博客文章上宣稱,特朗普對繼續使用不安全安卓設備的堅持,就是在“召喚災難,肯定會引發真正的恐慌。”
“一旦被黑,該手機就是個漏洞,甚至是比擁有巨大權限的璽印被偷更大的災難。它可以記錄周圍的任何事情,并且只要重新聯上網絡,就能將記錄的信息發送出去。”
關于特朗普是否能提升奧巴馬的記錄,尚未有定案,但在安全專家看來,標準其實并不高,提升空間還有很大。
政府如今的網絡安全水平,如果放在整個美國經濟圈里看,那是相當不體面的。沒有任何一家金融或醫療機構會對我們當前的工作滿意,美國人民也不滿意。
京公網安備 11010502049343號