2023年1月19日,美国政府问责局(GAO)发布网络安全高风险系统报告:建立综合网络安全战略和执行有效监管的挑战(Challenges in Establishing a Comprehensive Cybersecurity Strategy and Performing Effective Oversight)。报告指出,联邦政府机构在信息安全、关键网络基础设施保护、个人可识别信息隐私等高风险领域存在风险,且相关安全建议未被采纳和实施。GAO提出,联邦政府应从实施更加综合性的联邦战略、缓解全球供应链风险、解决网络安全人才不足挑战、确保新兴技术安全四个方面解决美国所面临的网络安全挑战。

GAO:建立综合网络安全战略和执行有效监管的挑战

编译:学术plus高级观察员 TAO

本文主要内容及关键词

1. 背景

2.联邦政府如何解决网络安全挑战:联邦政府①如何实施综合联邦网络战略?②如何缓解全球供应链风险?③如何解决网络安全人才不足的问题?④如何确保新兴技术的安全?

3. 评述

内容主要整理自外文网站相关资料

仅供学习参考,欢迎交流指正!

文章观点不代表本机构立场

*****

01 背景

美国联邦政府和能源、交通、通信、金融服务等关键基础设施都依赖技术系统来实现基本操作、处理、维护和报告重要信息。这些系统和数据的安全性对于保护个人隐私和国家安全至关重要。

随着技术的发展,这些技术系统的风险逐渐增加。联邦机构、关键基础设施所有者和运营者有责任保护系统的机密性、完整性和可用性,并有效应对网络攻击。GAO先后将信息安全、关键网络基础设施保护、个人可识别信息隐私列入高风险领域。2010年以来,GAO先在高风险领域先后发布了335份建议,但截至2022年12月,仍有190份建议未被采纳。

02 GAO认为联邦政府应该采取以下措施确保网络安全

  • 为国家网络安全和全球网络空间建立更加综合性的联邦战略;

  • 缓解全球供应链风险;

  • 解决网络安全人才管理挑战;

  • 确保新兴技术安全,如人工智能、物联网。

2.1 联邦政府如何实施更加综合的联邦网络战略?

联邦政府需要解决国家网络战略和实施方案中的缺失部分。

2018年9月白宫发布的国家网络战略(2018 National Cyber Strategy)和2019年6月国家安全委员会发布的实施方案中,详细介绍了管理国家网络安全的方法。国家网络战略和实施方案只解决了国家战略中的3个目标:(1)目的、意图、方法,组织角色、职责,融入和实现;(2)未解决问题定义和风险管理;(3)目标、子目标、活动和效果度量,资源、投入和风险管理等3个目标,如下图所示:

国会和白宫采取了一系列措施以确立其在网络安全领域的领导地位。但联邦政府在建立和实现综合性的国家战略前,都没有提出美国应对网络挑战的清晰路线图。GAO建议国家安全委员会与相关联邦机构协作,更新网络安全战略文件,包括目标、度量、资源信息等。2022年8月,国家网络总监办公室(Office of the National Cyber Director, ONCD)表示国家网络安全战略的确立正在推进过程中,并收到了包括国家安全委员会在内的多个联邦机构的反馈。

2.2 联邦政府如何缓解全球供应链风险?

联邦政府需要实现对供应链风险的管理

联邦政府依赖信息和通信技术产品和服务实现其职能。这就使其不得不面对信息通信技术供应链风险,如,敌对国家对供应链漏洞的利用等。为帮助联邦机构有效管理信息通信技术供应链风险,国家标准和技术研究所建立了包括基于风险实践在内的工作指南。

2022年12月,GAO发现23个机构没有实现供应链管理风险的7个基础安全实践,14个机构没有实现任何安全实践。23个机构中只有3个建立了产品部署前检测信息通信技术产品是否安全的组织流程。23个机构中没有一个在机构范围建立了对信息通信技术供应链风险的评估。

GAO建议这23个机构在组织范围内,尽快实现这些基本实践以应对信息通信技术供应链风险管理。截止2022年12月,145条建议中有130个仍然未实现,这23个机构中没有一个机构完全实现了GAO的这些建议。

2.3 联邦政府如何解决网络安全人才不足的问题?

管理和预算办公室(OMB)应建立规划以解决网络安全人才短缺的问题。

2020年4月,GAO提出OMB和其他牵头组织应该实现改革以解决人才问题,如,识别现有网络安全人才技能方面的不足,并通过培训等措施缩小差距,建立招聘、培训网络安全专业人才的标准化建设等方法。

GAO发现OMB和国土安全部解决了一部分人才短缺的问题。但OMB和国土安全部尚未建立在政府范围内建立实施方案。这样,OMB和国土安全部可能无法在解决网络安全人才短缺问题上取得明显进展。

在解决网络安全人才不足挑战上,GAO建议建立政府范围内的人才规划和一系列的支持举措,比如建立领导团队、制定实施方案。2022年,政府内网络人才问题的主要负责机构从OMB和国土安全部转移到了国家网络总监办公室。转移之后,总监将负责建立解决网络培训、教育、网络人才等问题的国家战略。

2.4 联邦政府如何确保新兴技术的安全?

联邦政府应更好确保联网设备的安全。国家的关键基础设施依赖电子系统,包括物联网(IoT)和OT(操作技术)设备和系统。目前,能源部、国土安全部、交通部、卫生和公众服务部等关键基础设施单元都在创建网络安全计划,以帮助关键基础设施更好地使用IoT和OT设备和系统。但没有机构及时建立评估有效性的度量标准。此外,相关机构也未进行IoT和OT网络安全风险评估。GAO建议能源部、国土安全部、交通部、卫生和公众服务部及时建立和使用度量标准来评估IoT和OT网络安全工作的有效性以及网络安全风险。截止2022年12月,以上建议尚未被实现。

量子计算可能会带来重大网络安全风险。量子计算机可以加速机器学习和信息解密等应用的计算速度,也可能会对安全和密码学技术带来潜在风险和挑战。比如,量子计算机有可能破解标准加密技术,并因此带来巨大信息安全风险。因此,联邦政府的网络安全基础设施应解决这一威胁。

人工智能技术持续发展,应加强监管。人工智能技术的发展和应用可能会带来一系列的挑战和风险。比如,如果人工智能使用的数据是有偏见的或被黑客破坏过的,那么产生的结果也可能是有偏见的。2021年3月,美国人工智能国家安全委员会发布报告分析了与人工智能相关的网络安全风险以及解决措施。报告同时指出人工智能技术可以使得网络攻击更加复杂,使网络战加速和自动化,使网络武器更加隐蔽,使网络攻击活动更加高效。联邦政府应该采取更多的措施来解决这些威胁。

03 评述

近年来,美国高度重视网络安全,尤其是关键基础设施的保护。GAO在原有信息安全的基础上,将关键网络基础设施保护、个人信息隐私等列入高风险领域。2010年以来,GAO在高风险领域先后发布的网络安全建议,有近200份建议未被实现,因此存在重大网络安全风险。GAO提出建议,联邦政府解决国家网络战略和实施方案中的缺失部分以实施更加综合的网络战略、实现供应链风险管理的全部实践以缓解全球供应链风险、建立政府范围规划解决网络安全人才短缺的问题、从物联网设备、人工智能、量子计算等方面确保新兴技术的安全,最终实现应对美国所面临的网络安全挑战的目的。

参考链接:

https://www.gao.gov/products/gao-23-106415

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。