在美国国会第114次代表大会召开之际,奥巴马政府一直在寻找一种解决反对党控制小党派的问题。而人们在面对网络安全时,感觉这是技术专家的领域,并无党派之争。然而,历史已经证明,当涉及到解决国家的网络安全漏洞时,党派和意识形态的分歧可能一样很深刻。
2011年以来,奥巴马政府及其代表鼓吹以网络威胁信息共享为手段,实现更安全的网络空间,并以此来加强国家安全。但是,在国会中不论是支持者还是反对者,都在网络面前有了一些小动作。
2013年,奥巴马签署一项行政命令,建立了一个自愿性框架以创建关键基础设施的网络安全标准。另外,奥巴马政府除了建立一个联邦机构以协调政府内部威胁情报以外,还采用EO创建私有部门组织之间的自愿性信息共享网络。但许多专家均对此持怀疑态度,除非这些举措会对提高网络安全产生显著的影响。
综合网络安全的立法一直是作为一个成功的案例。而与此相反,在拉开序幕时,它需要有一个渐进的方式,去年奥巴马签署了关键基础设施的行政命令,今年已开始与国会一起努力来检查数据泄露通知,但“网络信息共享”这个镶嵌在皇冠上最后的宝石,却一直难以获得最近三届总统政府的批准。
2015年2月10日,网络信息共享方面有了新进展。美国总统国土安全和反恐助理丽莎•摩纳哥在一次演讲中宣布成立网络威胁情报整合中心(CTIIC)。当天的早些时候,一位高级政府官员告诉路透社,网络威胁情报整合中心将“各种网络威胁的点连接到全国,让相关部门和机构都意识到这些威胁无时无刻不在接近。”
摩纳哥告诉华盛顿邮报,成立的新机构将在政府机构中协调网络威胁情报,并仿照9•11恐怖袭击事件后成立的国家反恐中心行事。通过NextGov分析表明,CTIIC在国家情报总监办公室的监督之下,并得到了3500万美元的预算。根据2004年情报改革及恐怖主义预防法,总统可以绕过国会批准的权力,直接批准网络威胁情报整合中心的预算。
2月13日,白宫网络安全首脑会议在斯坦福大学举行。在这里,总统签署了一项“促进私营部门的网络安全信息共享”的行政命令,在联邦政府中具有法律的作用,旨在建立”网络威胁信息在私营部门共享”的组织机构,其目的是建立机制,不断提高这些机能的能力和作用,并在自愿的基础上,让这些组织更好地与联邦政府合作。
这是一个共同的使命吗?
“这是一个共同的使命,”奥巴马在致辞中说,“政府不能独自做到这一点,与私人部门不能单独做到。只有一个方法来保卫美国,那就是政府和私营部门作为真正的伙伴一起工作。”
因此,在一个简单的备忘录上大笔一挥,奥巴马总统在促进联邦政府和私营机构之间的网络威胁情报共享上取得了史无前例的进步。从工业到工业,从非营利性到非营利性。由政府回落到私营部门,网络威胁的关键信息的流向是前所未有的。但如果它是真的话,那么这样一个框架是可取的吗?
虽然一些前反恐官员像理查德•克拉克一样,认为创建CTIIC积极的举动姗姗来迟,而另外其他的官员,如前白宫网络安全协调员梅利莎•哈撒韦说,成立这个新机构对于美国政府来说根本没有必要。她指出,政府已经拥有专门用于监视和分析网络威胁数据的多家机构:美国国土安全部(DHS)、联邦调查局、国家安全局,他们都拥有网络运营中心。
“我们不应该创造更多的组织和官僚”,梅利莎•哈撒韦告诉邮报说,补充说,“我们需要通过追究他们的责任,来迫使现有的组织更为有效。”
前国防部副助理,GHSAdvisors公司总裁布鲁斯•德格拉齐亚认为,网络威胁情报整合中心的成立似乎有点好笑。特别是其成为政府的参考“连接点”时,这一点尤其如此。“我认为这是国家情报总监应该做的事情”,他说。
他回忆起91•1恐怖袭击之后,人们对情报机构有了一个巨大的批评,那就是情报机构如此孤立,他们并不相互沟通。“这也是人们认为国家情报总监应该处理所有这些问题的原因之一。”他表示。然而,网络威胁情报整合中心在这个机构的管辖之下。“谁承担责任,谁就是应该坐在首位的人。”德格拉齐亚说。
理查德•斯蒂农是分析机构IT-收获的首席研究分析师,他是著名的隐私问题安全专家。他质疑信息共享的推动以及其是否有用。当谈论网络威胁情报整合中心的功能时,他指出,“不能把每一个机构的攻击数据都只交给一个中心点。”。他说,根本就没有足够的人力来筛选这些数据,更不用说政府机构和私营部门之间的协调了
“国会议员和总统的行为就好像需要我们将所有的信息共享,然后问题就会得到解决,这才是千真万确的9•11。但在IT安全方面,信息共享是自动部署的,的几乎所有安全产品都能做。“他解释说。在这个系统中,英特尔的威胁从一个供应商的产品流入到另一个供应商。“这就是保护数以百万计的人员和组织的有效信息共享。”
集中化与隐私
斯蒂农说,在任何提高网络安全的总体目标的集中过程中,都会有损隐私问题。“已经有这个美丽的基础设施建立信息安全共享,几乎每个人都参加,”他断言。“现在的国防工业基地,和关键的基础设施,这在历史上没有做好应用安全,认为所有他们需要的是正确的信息。“他认为,大多数所发生的事情,政府机构如联邦调查局会提供没有上下文的山一样的信息,其中大多是无用的收件人。
“我认为这是一个积极的和有远见的想法”,格雷戈说诺瓦克,与信息安全论坛(ISF)首席研究分析师。他与众不同的看法是来自网络的威胁,有时一些威胁交织在一起:国家行为,非国家行为,犯罪行为,意识形态等。然而,政府的网络威胁的调查能力往往是按着这些来划分机构。
“协调这一信息,将增加国家安全和网络安全私营部门的能力”,他预测。诺瓦克以去年十一月索尼电影公司违约公映作为一个例子。“在这里,这就是一个国家行为攻击美国境内的私人机构的例子,其中就有犯罪和意识形态这两种元素,”他说。“试图找出哪些政府机构应该处理这个案例,这并不完全清楚,但各方进行信息共享将是有益的。”诺瓦克解释说。
基于信息共享的EO同样会面临这么多的问题。需要明确的是,因为它寻求在整个行业创建“自愿”信息共享和分析组织(ISAOs),没有一家公司将被要求加入或共享信息。此外,德格拉齐亚解释说,这项行政命令缺乏立法管制行动的约束。
“所有的行政命令所能做的就是联邦政府能做一些事情,或者不能做什么。它在联邦政府之外却没有任何影响,而国会却有权这样做,“他表示。
“我最讨厌的就是玩世不恭”,德格拉齐亚补充说,“但如果我们遭受某种类型的网络攻击,美国国会在关键基础设施方面会采取有效的措施应对。”
行政命令不能做什么
EO不能创建isaos,和行政部门只会鼓励他们通过DHS。此外,德格拉齐亚说,如果私人部门不支持它,然后主动将枯萎像以前的立法建议的网络安全信息共享。“这都是自愿的,创建这些组织出于私营部门的利益,因为他们很有可能受到没访问过的信息的威胁。”他指出。
诺瓦克和斯蒂农看到任何集中参与由政府作为一个行业非起动器。“斯诺登事件之后,人们与联邦政府分享任何信息都会有所担心,特别是那些有国外业务的跨国企业。不幸的是,政府声誉的问题必须政府自己去克服。”诺瓦克总结说。
斯蒂农认为打击网络威胁的努力作用并不显著,特别是考虑到那些”正式和非正式”的成百上千的信息共享的组织。
“我们很了解情报机构侵犯隐私的问题,之所以信息共享,只是让他们获得更多的信息,这表面上是为了追踪坏人,但是这种开放可能更多被滥用,”他警告说。“对此问题,企业并不希望与政府共享信息。如果人们认为你给政府的信息也许是个人数据,那么它可能会影响你的客户。“
分析师说,谈信息共享完全忽略了一点,将重点解决国家的最突出的网络安全漏洞。“无论由政府支持和推出的信息共享多么完美,它不会减缓有针对性的网络攻击的步伐。”他预测。“这些发展是适得其反,因为它们没有解决核心问题。”
相反,斯蒂农说政府应该进行一些反思,而不是把目光投向自愿性框架与私营部门。
“事实是,大多数政府机构或公共私营伙伴关系,比如像公用事业就是最脆弱的,因为他们没有足够的安全投入。”他总结道,“如果我们要更好地促进网络安全和国家安全,那么每一个政府机构都应制订一项计划,以赶超到今天的民营企业。”
热门专题
