在过去的几天里,我们了解到有史以来最大规模的网络攻击之一,攻击医院。网络犯罪是一个日益严重的问题,并且使移动设备,智能家居,建筑和工业快速发展的技术已经超出了保护我们的生命,隐私和资源所需的安全性。这些进步为不良行为者提供了数百万个访问点,可对其造成重大破坏或威胁生命。
我们还必须采取步骤,以确保我们用来保护自己的保障措施确实是安全的。在网络安全领域,我们对外国独资公司的依赖也增加了风险。
意识到对美国安全的威胁,国会于年成立了网络空间日光浴室委员会(CSC),以“就在网络空间保卫美国免受重大后果的战略方法达成共识。”这份完成的报告已于年3月11日向公众提交,国会正在将许多建议转化为法律。值得庆幸的是,在报告中的54项立法建议中,众议院和参议院版本的《年国防授权法》中都包含20多项。
请记住,保护美国网络系统需要私有和公共部门众多行业的安全专家之间进行复杂的协作,以开发一种整体方法,不仅限于供应商,产品或系统,还包括对维护系统的人员的管理和监督。正如日光浴室委员会所指出的那样,目前,我们在全国范围内没有制定全面解决方案的流程或实体。
日光浴室委员会的一项主要发现是确定国家网络总监的位置。确实,众议院和参议院本月都举行了听证会,其中大部分时间都花在辩论这项规定上。众议院包含语言;参议院建议继续研究该问题。尽管高层*府组织值得辩论,但迫切需要的是承认和提升私营部门的领导能力。
这种共同责任的一个例子是,有多少美国*府机构,包括*事和网络安全公司,利用软件来搜索,规划和理解网络威胁情报。
例如,许多美国*方和*府机构选择用来收集和解释网络威胁情报的当前软件平台不是“美国制造”。该软件最初是由南非公司Paterva开发的,现在由一家从事MaltegoTechnologies业务的德国私募股权公司拥有。但是,Maltego已被广泛认为是一种黑客工具。一个粗略审查的公开可用的资源发现一些潜在的惊人的连接担忧。
实际上,Maltego目前由陆*物资司司令部,国防反情报和安全局,卫生与公共服务部,GSA,司法部,联邦局调查总部司,海*海*海系统司,美国特种作战司令部和国防反情报与安全局。这一切都引出一个问题:为什么这么多关键的美国*府机构使用外国拥有和控制的黑客工具来收集网络威胁情报?
需要考虑的其他事情是,某些网络安全系统要求将软件加载到客户端的计算机和网络基础结构上。这增加了一层风险,美国*府机构和公司应考虑到这一风险,尤其是如果它们是外资拥有的。毫无疑问,适当的国会委员会应该更积极地参与网络威胁情报的收集。
尽管如此,特朗普*府似乎通过禁止进口中国*府拥有的华为部件,对外国外包采取强硬路线。国会似乎即将采取行动来推广“美国制造”,包括在FY21NDAA的众议院和参议院两个版本中都向国内半导体制造业提供奖励。但是,国防部仍在对该禁令提供豁免-最近一次是在本月。此外,当前的立法语言还不足以保护和促进美国微电子技术和集成水平的制造。
为了在未来50年维持一个网络安全的国家,公共和私人都需要合作参与。这必须包括采取强硬路线,以确保我们最重要的秘密和个人信息受到国内公司的保护,从而减少了与我们的在线和互联数字世界相关的风险。我们已经接受了挑战,必须再次挑战。