一年前,美国运输司令部(USTRANSCOM)司令达伦·麦克德乌曾向美国国会发出警告,称政府需要着力弥合军用与民用环境之间的网络安全鸿沟。2018年,麦克德乌再次重申这一结论,并主张制定一项国家网络安全标准,为美国的安全水平设定一条“最低基准线”。
设置合作企业最低“基线”标准
网络安全标准将为各类企业制定必须遵守的最低指导原则、最佳实践与标准,以确保其能够有效与政府及其它各方开展安全可靠的合作与业务往来。美国国防部目前将国家标准与技术研究院的网络框架作为其实施标准。
2017年,美国运输司令部曾进行两轮演习:
第一轮演习在于探索运输司令部如何在美国无法继续利用空中或海上环境时继续保持运作;
第二轮演习则是探索运输司令部如何在网络竞争环境中运作。
演习结果显示美国运输司令部高度依赖于商业企业,这很可能成为其致命软肋。麦克德乌在2018年4月10日召开的参议院军事委员会听证会上指出,目前,90%的美国运输司令部战争参与能力需要借助私营部门才能实现,因此,他呼吁美国国会与国防部采取一系列措施以弥补这一缺陷。
美国运输司令部与企业合作要求
麦克德乌表示,“美国运输司令部的每一份合约当中都纳入了网络标准。虽然这些标准在严格程度上还达不到预期要求,但运输司令部仍努力与行业开展合作。如果没有美国国会及国家标准作为依托,快速推动过于严苛的要求往往会导致私营企业不再为运输司令部提供支持。
合作方主动上报入侵活动
美国运输司令部目前的合约着重强调各合作方必须主动上报入侵活动,各合作企业在这方面一直缺少足够的关注。麦克德乌表示,尽管在运输司令部网络安全被视为指挥官的分内职责,但纵观美国的企业 CEO (首席执行官)们往往不会将网络安全保障当成自己的工作。
企业安全检查以“自查”为主
美国运输司令部最近刚刚获得授权,可以对其承包商的网络安全水平进行实际审查,而作战司令部目前还不具备这一权利,实际上,运输司令部并不能以自己期望的速度实施安全性检查,因此要求各企业自行检查其安全水平,现在的问题在于不能确保每家企业都能掌握自身存在的问题。
美国运输司令部目前正在召开网络圆桌会议,旨在与行业共同探讨相关问题,并强各企业必须采取怎样的网络安全重视水平。麦克德乌指出,部分企业的最大问题在于其网络安全问题的优先级仍然很低,这意味着首席信息官甚至无法与公司董事会进行顺畅沟通。
企业董事会成员必须要有一名安全专家
美国参议院军事服务评级员杰克·里德(罗得岛州民主党人)表示,参议院银行委员会目前正努力要求各家与政府合作的企业至少在董事会当中引入一名网络专家。
最近,美国运输司令部方面意识到政府-企业网络安全鸿沟造成了多么严重的问题。约两年之前,美国运输司令部曾经与学术界、商界领袖以及黑客人士在18个月内举行了三场圆桌会议,旨在更深入地了解网络威胁态势。通过会议,该运输司令部意识到以火车、飞机、轮船以及其它运输工具作为业务载体的各商业合作伙伴并没能实施与美国国防部要求相同的网络安全标准。
大小规模企业都应重视网络安全
麦克德乌在采访中表示,“运输司令部的协作方与其依赖的合作伙伴都使用 .com 以及 .mil 域名。各方对这些资产的处理态度有时会存在差别。如果美国国土安全部(DHS)未能严格强调这些商用基础设施属于国家安全层面的重要组成部分,那各方投入的保障力度也会参差不齐。因此必须让企业意识到网络安全问题不只是 IT 问题,还是 CEO 的问题,即需要指挥官的领导。而"夫妻店"式的运输企业显然不可能具备与美国军方对等的网络防御能力,尽管如此,这类企业仍然有必要引入解决方案以提升自身网络安全水平。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。