美国地方政府频繁遭受勒索攻击的真实原因：没钱没资源

去年，勒索软件大举突击美国23个地区，得克萨斯州一家图书馆的计算机系统也因此陷入瘫痪。

美国多位市政官员表示，糟糕的资金调配模式、繁杂的聘用流程和即便是在最简单的项目中也需要寻找特殊资源的艰难现实，降低了政府机构抵御网络黑客攻击的能力。

城镇已成黑客攻击的主要目标，他们通常会试图窃取敏感数据或对其进行加密，并以这些数据为要挟来勒索地方政府支付赎金。近年来，美国巴尔的摩和亚特兰大等大型城市以及众多中小型城镇/学区先后沦为网络攻击的受害者。

美国安全公司关键信息安全（Critical Informatics Security）的首席信息安全官Mike Hamilton表示，由于大多数地方政府只能从常规预算中获得资金，这导致市政网络安全项目的款项难以到位。相当一部分小型城市甚至根本没有网络安全专项预算。

Hamilton解释道，网络安全项目往往会同时涉及多个机构，这就导致安全负责人无法明确谁来监管。

在接受采访时，Hamilton提到“只要还有对应的监管领导存在，安全负责人实际上就无权插手并对其做出改变。虽然可以提出相关建议，或者在整个部门中建立起统一的安全管理策略，但到了实施层面一切都会变得异常艰难。”

这一点在最简单的安全项目中也有所体现，例如使用URL过滤阻止市政官员访问危险网站。Hamilton表示，他在地方政府任职期间，就经常被迫寻找“非常规”方法为这类项目寻求资金，例如借用面向其他市政实体的供资项目，包括公共事业等，在原有金额中增加额外的比例供网安项目使用。

洛杉矶市首席信息安全官Ralph Johnson也在采访中指出，其他因素也在影响城市提升自己的网络防御能力。在城市政务流程中采购技术方案需要很长的时间，招聘工作也是如此。更严重的是，市政部门能够提供的薪酬完全无法与大型技术企业或安全公司相提并论，而且整个招聘过程甚至可能持续数年。

他提到，“即使有人想要申请职位，在等待政府部门面试的过程中，他们可能已经失去了很多其他更好的选择。”

Johnson强调，另一个麻烦在于，政府部门必须先进行内部筛选，在确认没有合适人选之后才能招募外部候补。无论当前职位是什么，无论内部人员的技能储备是否合适，都需要经过这样的流程。

西雅图首席信息安全官、华盛顿州塔科马市前安全主管Ronald Jimerson表示，规模较小的城市和乡镇往往面临着更严峻的安全威胁。这时，就必须雇用外部服务商以获得帮助。

Hamilton提到，当多个城镇或学区依赖于同一家托管服务供应商时，网络攻击可能一次性引发范围极广的影响。2019年，勒索软件攻击影响到得克萨斯州共23个城镇，官员随后将事件追溯至同一家托管服务供应商。

信用评级企业穆迪投资者服务公司警告称，如果服务中断导致市政当局未能及时偿还债务，那么此类攻击活动很可能破坏当地信誉、造成严重后果。

Hamilton总结道，“这对于美国的乡村地区将造成毁灭性的打击。他们将无法获得资金、拿不到资源，由此无法与其他地区开展竞争。而且这类风险极高的托管服务供应商比比皆是，难以回避。”

原文链接：

https://www.wsj.com/articles/budget-and-hiring-practices-hinder-cities-cybersecurity-efforts-11602495000

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。