本文摘自《The Hill》的一篇題為「US cyber strategy is missing accountability and a ransomware moonshot」的文章,作者是Gary Barlet。Barlet是一位曾在美國空軍從事網路操作工作超過20年,且曾擔任聯邦CIO的專家,目前是網路安全公司Illumio的聯邦現場CTO。在本文中,Barlet提出了關於美國網路戰略缺乏問責制和加強打擊勒索軟體的問題,並提出了他的觀點和建議。
美國的網路政策漸漸喪失當責性並無法立即遏止勒索軟體的猖獗
這是拜登政府最近推出的新國家網路安全戰略的第一個問題。它在兩個基本領域存在性不足:立即性的影響和問責制。該計劃指出,到這個決定性的十年結束時,美國將取得這些成果,這樣我們就可以自信地邁出大膽的一步,邁向一個造福於我們所有人的數位化未來。
在網路方面提前 10 年進行規劃是不可能的。美國應該更擔心 2024 年而不是 2033 年。美國每年因勒索軟體損失數十億美元,但該戰略並沒有採取任何措施立即扭轉局面。這是一場危機,應該採取危機應對措施。去年,美國金融機構與勒索軟體攻擊相關的成本接近 12 億美元,是前一年的四倍。
但是,金融災難並不是唯一面臨風險的事情,我們日常生活的結構也是如此。勒索軟體每週都會衝擊美國的醫療保健系統、食品供應鏈、電信網路、能源基礎設施和金融機構,使我們所依賴的服務的營運戛然而止。如果不引入可立即產生影響的可行想法和問責制,情況只會變得更糟。
公平地說,國家網路安全戰略已經闡明了強有力的核心目標,比如加強跨部門協作、使聯邦系統現代化、破壞和追捕攻擊者、加強軟體供應鏈以及促進零信任違規遏制戰略。然而,它未能詳細說明如何才能真正完成所有這一切的策略、資源和時間安排。簡而言之,該計畫並未反映當前威脅形勢的嚴重性和緊迫性。
因此需要一種問責性方法來對勒索軟體和風險產生立竿見影的影響。
- 大膽的想法在哪裡,比如立法禁止支付勒索軟體贖金以阻止網路犯罪分子從這些攻擊中獲利?
- 還是要求私人和政府組織在數據外洩後 72 小時內公開通知客戶,以便他們知道自己的數據何時被外洩?
- 或者阻止無法證明自身資安預備能力與韌性的軟體供應商與聯邦政府合作?
國家網路安全戰略缺少的不僅是偉大的想法。該戰略也未能解決具體問題。實施部分只是國家網路安全戰略 39 頁中的一頁。文中定義的明確、可操作、有時限的目標和目的是什麼?一年後需要發生什麼,會產生什麼影響?它將如何執行?我們將不得不等待國家資安長評估。
更重要的是,在美國國會兩黨協議似乎極其罕見的時候,這一戰略完全沒有資金支持。我們需要國會和工業界的高度重視,以解決這些問題。我們作為一個國家,需要準備好進行認真的投資,以保護這個國家的網路安全為名,正確地完成這項工作。如我不這樣做,最終將出現另一場災難性的破壞,例如影響日常生活的管道攻擊。
最後,作者認為美國需要踩油門、加快步伐,需要現在就開始,不是明天,當然也不是 10 年後。 把文字寫在紙上是推動資安意識對話向前邁出的重要一步,我很高興終於有了一個有凝聚力的國家戰略。 然而,追根究底,所有這些策略都是紙上談兵。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:GARY BARLET(2023). US cyber strategy is missing accountability and a ransomware moonshot. The Hill. 檢自:https://thehill.com/opinion/cybersecurity/3895342-us-cyber-strategy-is-missing-accountability-and-a-ransomware-moonshot/ (Mar. 11, 2023)
