白宫网络安全会议当地时间8月25日召开,旨在改善网络安全的措施。白宫网络安全主管部门、能源部、商务部、国土安全部等部部长,IT界“八大金钢”的半数以上企业高管、保险、金融、教育、非营利性组织等行业的高管,悉数到场。公私合作、强化标准规范的强制性、招募网络安全人才、打击勒索攻击等议题最受关注。此前此起彼伏的网络攻击事件引发了人们对所谓关键基础设施脆弱性的质疑。
拜登政府当地时间周三与多位技术、银行、保险和教育高管举行白宫会议,重点讨论网络安全和国家安全问题,例如保护关键基础设施免受攻击以及如何雇用更多安全专业人员以满足不断增长的需求。主题包括勒索软件、网络安全专业人员的短缺以及构建具有默认安全保护的软件和设备。这位官员对记者说,预计政府将向水和能源等关键行业的公司施压,以改善他们的保护措施,以防止殖民地管道黑客事件重演。
总统拜登在大会上发出呼吁
会议开始前,乔·拜登总统对记者发表讲话,吹捧了他的政府最近的一些网络举措,包括 5 月份要求联邦机构改进其安全防御的行政命令,包括采用“零信任”策略和只购买符合特定安全标准的软件,以及针对州际天然气和石油管道运营商的新指南。讲话中呼吁苹果、谷歌和摩根大通等知名企业的领导人采取更多措施应对网络安全威胁。
拜登说:“现实情况是,我们的大部分关键基础设施都由私营部门拥有和运营,联邦政府无法单独应对这一挑战。” “我相信,你有能力、能力和责任来提高网络安全标准。最终,我们还有很多工作要做。”
“我们一次又一次地看到,我们依赖的从手机到管道再到电网的技术如何成为黑客和犯罪分子的目标。”
拜登对网络安全专业人员短缺表示担忧,因为白宫估计,在网络安全攻击的猛烈冲击下,仍有大约50万个网络安全工作岗位空缺。
参会阵容堪称豪华
会议出席的企业高管将包括微软首席执行官萨蒂亚纳德拉、亚马逊首席执行官安迪贾西、谷歌首席执行官桑达尔皮查伊、苹果首席执行官蒂姆库克和 IBM 首席执行官阿文德克里希纳博士以及其他几个人,将主要解决需要更多公私合作伙伴关系以加强美国关键基础设施的网络安全,如水处理设施、国家电网和石油和天然气基础设施,一位高级政府官员表示。
苹果首席执行官蒂姆库克、IBM 首席执行官阿文德克里希纳和谷歌首席执行官桑达尔皮查伊在白宫东厅听取美国总统拜登关于网络安全的演讲。
“美国公共和私营部门实体都面临着越来越复杂的恶意网络攻击活动,其中包括全国各个角落的大小企业、小镇和城市,”一位不愿透露姓名的政府高级官员表示。
除了加强关键基础设施的网络安全(在今年早些时候针对Colonial Pipeline和其他美国企业的一系列勒索软件攻击之后,这个问题一直是拜登政府关注的焦点)之外,白宫会议还将重点讨论政府和私营部门公司可以采取哪些措施来雇佣更多的网络安全专业人员。
这位高级政府官员引用了CyberSeek的统计数据,这是一个部分由商务部开发的工作岗位跟踪数据库,该数据库估计美国全国有465,000 个网络安全职位空缺,其中包括联邦、州和地方政府机构的大约36,000 个网络职位空缺。
“联邦政府无法单独解决这一日益复杂的国际挑战,我们也无法一蹴而就……当我们说网络安全事关国家安全,政府和公共部门必须共同应对这一时刻时,我们是真诚的,”高级行政官员说。
会议交流将超越科技
虽然周三的活动被宣传为白宫和硅谷科技高管之间讨论网络安全的会议,但这位高级政府官员表示,这次会议还将包括来自银行、保险、关键基础设施和教育部门的人士。
其他值得注意的参与者包括来自金融界的摩根大通首席执行官杰米戴蒙和美国银行首席执行官布赖恩莫伊尼汉;来自保险行业的 Travelers首席执行官 Alan Schnitzer和Resilience首席执行官Vishaal Hariprasad,来自美国水务、康菲石油、杜克能源和 PG&E等关键基础设施公司的代表;最后是德克萨斯大学、图加鲁学院和其他教育部门的机构。
在政府方面,该技术会议将听取乔·拜登总统以及几位高级官员和内阁部长的意见,例如国家网络总监约翰.克里斯.英格利斯和网络安全和基础设施安全局局长珍·伊斯特利。政府领导人包括商务部长吉娜·雷蒙多(Gina Raimondo)、能源部长詹妮弗·格兰霍姆(Jennifer Granholm)、国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)等。此外,国家安全顾问杰克·沙利文、国家经济主管委员会 Brian Deese、高级顾问兼公共参与办公室主任 Cedric Richmond、网络和新兴技术副国家安全顾问 Anne Neuberger均参会。
国家网络总监克里斯.英格利斯和 CISA局长Jen Easterly在白宫与高管们交流。
当被问及是否包括金融服务保险和关键基础设施高管时,这位高级政府官员指出,他们的参与与政府的目标相吻合。例如,5 月签署的网络安全行政命令将要求与联邦政府有业务往来的任何公司投资或创建符合安全标准的软件。
此外,政府呼吁石油和天然气行业等企业在新法规(例如国土安全部和运输安全管理局于 7 月宣布的新法规)方面,为运营州际管道的公司提供帮助并提供意见。。
“我们正在努力做的是仔细挑选我们所说的行业和领导人,"我们需要你。这个国家的关键服务需要你。" 我们需要过渡到技术真正 - 默认情况下 - 设计内置安全性的地方,”高级政府官员说。“我们需要过渡到默认情况下安全构建技术的地方,我们通过设计来确保安全。” “我们不会买车,然后单独购买安全气囊。我们需要知道我们正在购买安全技术。”
这位高级政府官员还指出,在大多数网络安全标准和法规都是自愿性的情况下,白宫现在正在与私营公司会面,以便他们在国会可能根据法律强制执行其中许多标准和法规之前有发言权。
“我们将努力确保这些标准得到全面采用,因为作为政府,我们应该感谢我们所服务的公民,但我们希望您继续前进,”这位高级官员说。“您(私营部门)在我们运行建立绩效控制和建立标准的过程中拥有发言权。”
勒索软件攻击是绕不开的话题
这位高级政府官员还指出,这些高管与拜登政府之间的一些会议将侧重于特定的网络安全问题,例如勒索软件,自总统1月上任以来一直备受关注,甚至为许多问题奠定了基础。比如6月与俄罗斯总统弗拉基米尔·普京的讨论。
“因此勒索软件将成为讨论议题的一部分,但我们真的想更广泛地了解各种恶意网络活动,以及我们实际上可以做些什么,”关于俄罗斯同行在该国境内的网络犯罪活动,美国政府继续与其进行谈判,这位官员说。
最新的攻击影响了微软的电子邮件服务器和广泛部署的SolarWinds安全软件,对保护包括能源、公用事业、国防、食品和制造业在内的16个“关键基础设施”领域均提出了质疑。
一些分析人士呼吁对俄罗斯和其他被控窝藏网络罪犯的国家实施更严厉的制裁。其他人建议对黑客用来收集勒索软件的加密货币进行更严格的审查。
关键成果将在分组讨论会产生
在与拜登的会谈之后,几位重要的内阁部长将与业内人士举行三次分组会议。
国土安全部长亚历杭德罗·马约卡斯和能源部长詹妮弗·格兰霍姆将与来自能源和水行业的高管共同主持一个关于关键基础设施弹性的会议。
美国商务部长雷蒙多(Gina Raimondo)和美国小企业管理局(Small Business Administration)局长古兹曼(Isabella Guzman)将与旅行者公司(Travelers Cos.)等科技和保险公司的高管会面,提高云计算和技术系统的安全性。
美国首位全国网络总监克里斯•英格利斯(Chris Inglis)将主持第三次会议,重点讨论网络安全人才。他将会见来自教育组织的领导人,包括公益组织 Girls Who Code、Code.Org 和几所大学。
负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)和网络安全和基础设施安全局(Cybersecurity and Infrastructure security Agency)局长珍·伊斯特利(Jen Easterly)也将参加此次活动。
会议达成的共识或成果将在晚些时候公布。
业界反响
网络威胁联盟主席、奥巴马政府期间的前白宫网络协调员迈克尔丹尼尔在一份声明中说。“我们已经有十年或更长时间让行业制定自愿的 [网络] 标准,但它并没有出现,”“所以我认为政府说,"看,我们必须认真对待这件事,要么你们需要这样做,要么我们必须考虑强制性方法,"是一个合适的地方。"”
战略与国际研究中心高级研究员艾米丽哈丁表示,周三的峰会主要是总统向私营部门发出的信号,表明他关心网络安全问题。这也意味着当前的黑客攻击可能会在未来通过立法和行政命令得到解决。“像这样的峰会是传递信息的机会,而不是决策机会,”她说。“我预计此类事情的大动作会在以后出现。”
奥巴马政府的白宫网络安全官员阿里施瓦茨说,通过与该国最有权势的领导人举办一场备受瞩目的聚会,白宫表明网络攻击是一个“生存问题”。施瓦茨指出,政府在讨论中包括多家网络安全保险公司,这一点很重要。他说,如果这些公司根据企业现有的网络安全实践制定政策,他们就可以迫使整个行业采取更好的行为。“最终,保险公司会告诉公司他们可以做些什么来防止下一次攻击,”他说。
全球网络联盟的总裁兼首席执行官 Phil Reitinger 指出,像周三这样的会议很少能产生长期的结果来提高安全性。“这种公共活动通常更多地是为了展示重点和关注,而不是在实质性问题上取得进展,”曾担任国土安全部国家网络安全中心主任的雷廷格说。“我读到的一些关于会议的内容,包括重点将放在‘更多的公私合作伙伴关系以加强网络安全’上,这让我感到绝望。我们不需要更多的伙伴关系;我们需要更有效的伙伴关系。 ”
VMware 网络安全战略负责人、美国特勤局网络调查顾问委员会成员汤姆·凯勒曼 (Tom Kellermann)表示,白宫应该扩大该小组,将其他人纳入网络安全领域,而且会议的更多内容应侧重于勒索软件。“会议的主要重点是阻止勒索软件。如果美国网络司令部不对与俄罗斯有关的网络犯罪组织采取相应的网络响应,打击勒索软件将继续是一场军备竞赛,”凯勒曼说。
参考资源
1、https://www.healthcareinfosecurity.com/white-house-tech-meeting-focus-on-critical-infrastructure-a-17364
2、https://www.securityweek.com/biden-tech-leaders-eye-concrete-steps-boost-cybersecurity?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityweek+%28SecurityWeek+RSS+Feed%29
3、https://www.washingtonpost.com/technology/2021/08/25/white-house-cybersecurity-summit-apple-amazon/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。