编者按
美国首位国家网络总监克里斯·英格利斯近日接受采访,谈如何促进联邦政府打击黑客的协同工作。国家网络总监主要对国会负责,其强制权力有限,该职位主要负责两方面事务:一是审查各机构网络预算并评估各机构支出决策;二是确保联邦政府采取一致方法来帮助关键基础设施运营商预防和应对攻击。
英格利斯表示,其工作目标是利用在白宫的高调职位所带来的软实力,促使各机构更好地共同保护关键基础设施,加强长期弹性,并在预算中优先考虑网络安全;为确保政府机构加强数字防御,其将加强对行政部门和联邦机构主管的问责;其将重点加强未规划而应开展的网络投资,并改变现有支出低效率的状况;针对联邦机构有时会忽视网络支出的情况,其将通过协调网络安全和基础设施安全局(CISA)在各机构遭到黑客攻击时的快速援助来改变这种心态;政府当前需要制定新网络法规,尤其是针对关键基础设施,从而强制确保达到某种程度的安全标准。
针对国家网络总监与负责网络和新兴技术的副国家安全顾问的角色分工,英格利斯表示,双方都有“足够的空间”,但两者职责没有“非常明确的界限”。英格利斯称,前者将监督“完全可以在网络空间内解决的活动”,例如修补漏洞,并确保“每个人都在发挥自身作用”;但当网络事件需要“运用其他权力工具”时,例如外交谈判或金融制裁,将由后者和国家安全委员会负责。
奇安网情局编译有关情况,供读者参考。
在一次广泛的采访中,美国国家网络总监克里斯·英格利斯解释了他如何利用他的新白宫办公室来更好地同步政府打击黑客的斗争。
美国史上首位国家网络总监担任着拜登政府不想要的职位,他强制变革的权力有限。但克里斯·英格利表示,他有一个策略可以让政府机构加强数字防御。
在美国参议院6月确认其职位以来的首次深度采访中,克里斯·英格利斯表示,他的目标是利用他在白宫的高调职位所带来的软实力,促使各机构更好地共同保护关键基础设施,加强长期弹性,并在预算中优先考虑网络安全。
英格利斯说,行政部门和联邦机构主管需要“认识到他们是被追究责任的人,而不是他们的IT部门。那可能是执行的重点,但不是问责的重点。”
随着美国政府机构和私营基础设施屡遭黑客攻击,英格利斯开始担任新角色。2020年,俄罗斯在SolarWinds事件中入侵了至少9个联邦机构和大约100家公司内部的计算机系统。然后在2021年3月,微软披露了一项针对其电子邮件服务的黑客活动。5月,勒索软件犯罪分子入侵了Colonial Pipeline的网络,并迫使其关闭了一条为东海岸大部分地区提供燃料的管道。
在美国家安全局工作了28年、担任了7年半副局长的英格利斯称,“恶意行为者并没有止步不前。”他说他将专注于如何“阻止他们并确保他们不会以过去经常成功的方式得逞”。
美国国会在去年的国防政策法案中设立的国家网络总监职位几乎没有正式权力,但其负责审查各机构网络预算并评估各机构支出决策。英格利斯在提交给行政管理和预算局(OMB)和国会的预算报告中表示,他将强调“不在账面上但应该进行的投资”和现有支出的低效率。
美国联邦机构有时会忽视网络支出,将其视为对直接支持其任务的其他项目的干扰。英格利斯称,他认为他可以通过协调国土安全部网络安全和基础设施安全局在各机构遭到黑客攻击时的快速援助来改变这种心态——这将凸显为什么其需要在未来认真对待这个问题。
英格利斯所谓的网络安全“联邦一致性”目标可能很难实现。为了让各机构遵循同样的指南,他必须召集数十名机构首席信息官和首席信息安全官,他们每年监督近1000亿美元的IT和网络支出。
英格利斯还誓言要确保各机构遵循“我们购买的东西及其运作方式的普遍做法”,部分原因是他对拜登5月行政命令中对联邦承包商(尤其是软件供应商)的许多新要求的监督,该命令规定了公司必须如何开发和测试他们的产品。
英格利斯的另一项主要任务是确保联邦政府采取一致的方法来帮助关键基础设施运营商——从医院和学校到管道和发电厂——预防和应对攻击。私营部门有时称现有系统是分散且对立的。
英格利斯曾表示,现在可能是制定新网络法规(尤其是关键基础设施)的时机,这将有助于确切表达拜登政府对任何新规则的立场。行业组织反对法规,称自愿性标准在不断变化的技术中提供了更大的灵活性。
英格利斯称,“开明的自身利益和市场力量只能让你走到这一步。将有一些关键功能我们必须考虑,达到某种安全标准在多大程度上不是可选的。”
美国政府正在审查一项两党参议院网络事件报告法案,但尚未就该指令或其他潜在指令表明其立场。行政命令的承包商规则可以为未来更广泛的安全指令提供蓝图——拜登在单独的指令中规定的新的关键基础设施标准也可以。
鉴于政府之前就国会问责以及国家安全委员会职责潜在重复对英格利斯角色的抵制,网络专家们一直想知道英格利斯将如何与负责网络和新兴技术的副国家安全顾问安妮·纽伯格合作。
拜登任命纽伯格是因为他的助手赞成将网络保留在国家安全委员会内部,与英格利斯的新办公室相比,国家安全委员会较少对国会负责。
英格利斯称安妮·纽伯格和他都有“足够的空间”,但补充称网络政策的广泛性排除了他们职责间“非常明确的……界限”。
英格利斯表示,他将监督“完全可以在网络空间内解决的活动”,例如修补漏洞,并确保“每个人都在发挥自己的作用”。但当网络事件需要“运用其他权力工具”时,例如外交谈判或金融制裁,安妮·纽伯格和国家安全委员会将负责。他指出了Colonial Pipeline黑客事件,当时由国家安全委员会监督政府对燃料供应问题的反应。
英格利斯称,“我们权力的目的不是为了自己而创造一个新实体,而是增加价值。”
英格利斯仍在设立他的新办公室,该办公室缺乏永久性资金,而是从白宫应急预算中提取资金。他说他已经与“数十名”潜在员工进行了交谈,其中许多人正在加入他的团队,国会预计该团队最终会增加到75人。英格利斯称,“目前,我们所做的是列出这些人将承担的职能。他们来了。他们正在筹备中。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。