奥巴马总统只有几周的时间,但他对网络安全的遗产已经获取审查 - 混合评论。
根据一些专家,奥巴马表示,很多好事,做了很多好事,并致力于使网络安全成为优先事项,但最终没有完成使政府或私营部门更安全的目标。
最近的,剧烈的例子是一系列泄漏,通过黑客认为美国的情报机构属于俄罗斯,这破坏了民主党总统候选人希拉里克林顿和选举本身的可信度。
作为默里顾问主任的凯文·默里,违反顾问,“政府可以像它想要的那样做出尽可能多的政策,但如果它没有解决问题,它是什么好处?”
或者,作为Paul Rosenzweig,红分支咨询的创始人,前国土安全部(DHS)官员在乔治·W·布什总统和法律撰写的贡献者博客,“他们有工具,他们只是选择不使用他们在筹码下降时。我不知道为什么。“
默里·塞尔威斯凯文穆雷兼主任
这是重要的,因为政府的宪法责任之一是“为共同辩护提供”。在过去十年中,网络安全已经与军事或执法安全相同的重要性。网络攻击的潜在损害已经从滋扰水平变为瘫痪。
在物理水平,最高政府官员警告了多次风险“网络珍珠港”敌对国家,恐怖分子或犯罪团伙的袭击。在国家的关键基础设施中存在持续和持续的漏洞报告。
在经济层面,2012年,美国国家安全局前任董事(NSA)和美国联队委员会的埃斯克德·亚历山大经济间谍活动- 主要是中国 - 已导致“最大的人类历史上的财富转移”。
当然,这不是由于奥巴马缺乏关注,他在他的总统开始时宣布了网络安全的优先事项,并提到了几乎所有国家地址的重要性。
在手表中举行的举措,订单,政策和立法列表漫长而令人印象深刻。这包括:
- 2009年2月,奥巴马命令对政府的网络安全状况进行了审查。5月,他宣布了“网络空间政策审查,”他所说的,他将导致“协调的网络安全计划”从白宫奔跑,并打算“阻止,防止,检测和捍卫”反对网络攻击。
- 2009年6月,自2006年以来一直是临时美国网络指挥成为永久性的。目标是员工6000人,但截至去年,据报道,它仍然大约是三分之二。但是,美国拥有的专家之间存在一般协议,“世界上最强大的网络阿森纳。”
- 回应来自奥巴马的2013年行政订单,国家标准与技术研究所(NIST)发布了一个“网络安全框架”2014年2月 - 一份文件为私营和公共部门设定标准,并经历了各种更新。在奥巴马离开办公室不久,1月份发布了最新的更新草案,旨在提高关键基础设施的安全性。
- 2015年6月,政府发布了M-15-13,是“要求的政策跨联邦网站和Web服务的安全连接(其中为所有代理商设定了2016年12月31日的截止日期,以便使用加密的HTTPS网站和Web服务。
- 根据本月的普通服务管理,虽然合规性远远超过100% - 政府域名和亚地区的43%至73% - “政府现在在HTTPS上分离私营部门。”
- 2015年9月,奥巴马达成了被描述的内容“共同理解”与中国国家主席习近平停止经济间谍活动。他们的联合宣布表示,“既不是国家政府都会开展或故意支持网络盗窃知识产权(IP)......”虽然没有消除这个问题,但据报道,它已减少了它。
- 国会通过,2015年12月奥巴马签署了网络信息共享法(CISA),旨在改善政府与私营部门之间的威胁信息分享。对手仍称为“监督票据”,但倡导者说,任何改善国家的网络安全的希望都需要私营和公共部门之间的合作。
不幸的是,那些和其他举措并不总是达到预期的结果。过去八年的安全失败是众所周知的,在某些情况下,灾难性的。
也许是最糟糕的是黑客,归因于中国人事管理办公室(OPM),这损害了约2200万当前和前联邦雇员的个人数据。
Aaron Tantleff,合作伙伴,网络安全实践,Foley&Lardner
Douglas R.价格是AFIO(前智商协会)的董事会成员,称为它,“史诗般的比例失败”。
OMB推出了一个所谓的,30天的网络安全冲刺从认证到威胁检测的改善所有内容,但在泄露泄露之后,这已经太晚了。
其他高调的失误包括:
- 从美国陆军士兵泄露数百万分类文件布拉德利(现在称为切尔西)曼宁和前NSA承包商爱德华斯诺登,这不仅会对政府声称的信任造成信任,即它没有对美国公民进行监督,而且还说明政府无法保护自己免受内部人士威胁。
- 总统试过两次,2011年和2015年推出立法,“改善网络安全对于美国人民,我们国家的关键基础设施和联邦政府自己的网络和计算机。“
但是,任何提案都没有任何地方去,部分原因是分裂的大会,也因为反对公民权利和隐私集团的反对。
- 联邦“爱因斯坦”网络威胁检测和预防系统,自2004年以来一直存在,从那时起就经历了几次迭代,由DHS升级到“爱因斯坦3加速(E3A”2015年。
但它受到专家批评的,前政府官员和国会成员在甚至完全实施之前无望地过时 - 实施截止日期是今年12月。
在2015年11月,Cybersecurity行动副助理副助理副助理副助理秘书和DHS计划,“爱因斯坦3真的是我们需要15年前的地方。”
- 归因于俄罗斯,民主国家委员会(DNC)和克林顿总统竞选主席约翰波德斯塔的电子邮件账户。Wikileaks在活动的最后几周内发布了他们的尴尬信息。
有许多原因给出了失败。
首先,众多专家表示,政府本质上是不可能跟上威胁的进化和扩张。随着RosenzWeig在与Nextgov采访中,“政府在每小时60英里举动,互联网创新每小时6000英里。”
其他人说,差距越大越大。
Aaron Tantleff a partner in the Cybersecurity Practice at Foley & Lardner, added that given, “mass connectivity amongst devices via the Internet of Things, lack of security of all sorts of other devices and the lack of sufficiently trained cybersecurity experts, no wonder there’s vulnerability.”
其次,政府很难管理关键基础设施的在线安全,其中大部分是私人手。政府主要是发出促销和建议,而不是任务,而不是任务,因为未能遵守它们而受到严重处罚。
第三,政府努力与私人部门竞争的人才。
“联邦政府继续落后落后,因为它必须支付政府的薪酬级别的员工,”菲尼斯网络安全威胁系统经理John Bambenek表示。“对于有抱负和经验丰富的IT工作人员,私营部门只是一种更有利可图,有吸引力的职业选择。”
威胁系统经理John Bambenek,Fidelis网络安全
但是,专家们还说有政府可以的事情,而且应该做得更好。价格说安全要求“保护措施以及我们的对手被阻止攻击。我们对前者做了很多事情,但我们仍然遇到外国黑客的事实说我们在威慑方面有更多的工作。“
Tantleff指出一些漏洞持续存在,“因为我们选择维护它们,可能 - 奇怪地 - 出于安全原因。”
他指着迈克尔·丹尼尔,前白人网络安全协调员迈克尔·丹尼尔的博客帖子,他们认为,“披露漏洞可能意味着我们放弃了收集至关重要情报的机会这可能会阻止一个恐怖袭击,阻止我们国家知识产权的盗窃,甚至发现了黑客或其他对手利用我们的网络的其他对手使用的更危险的脆弱性。“
丹尼尔补充说,没有国家的利益,“巨大的储存”的未公开的脆弱性。但是,当然,“巨大储存”的定义可能会产生巨大的辩论。
政府改善的明显方式是更新其技术,专家们注意,在接近4万亿美元的预算中,肯定有钱可以改善硬件和软件。但他们说政治意志缺乏。
“谈到花钱,安全总是落后于其他优先事项,”班丹克说。“更新服务器和笔记本电脑并不像其他支出项目那么性感。没有国会议员曾经参加过丝带切割用于装运新电脑。“
最后,默里表示,政府不仅要关注那些破解或窃取数据的人,而且还对那些让它发生的人的关注。他说,直到需要责任,政府不会获得更好的结果。在几乎每种情况下都有一个失败的情况,包括OPM违规行为,那些负责人才能辞职,这意味着他们留下养老金和所有其他政府的福利。
“有很多手扭曲,但没有足够的行动,”默里说。“你必须让负责举行这些信息的人负责。有人应该付出很多钱,但随后被告知,'如果你的手表泄漏,你将负责。
“你开始这样做,人们将开始认真对待,”他说。
最终,如果重要的是结果,奥巴马的遗产将受苦。Tantleff指出了最近的书籍“全球网络漏洞报告,”这审查了44个国家的网络脆弱性,并将美国排名第11TH.最安全的。
“很难相信,这将有助于奥巴马的网络安全遗产,”他说。
在特朗普总统的情况下,是否有任何人的猜测,但一些早期的适应症都不鼓励。
尼古拉斯·韦弗(International Composition Intutitute)的高级职员研究员,在制定的帖子中,宣称总统坚持继续使用不安全的Android设备是,“询问灾难(和)应该导致真正的恐慌。
“一旦遭到损害,手机就会成为一个错误 - 比伟大的密封更灾难 - 能够录制它周围的一切,并一旦它重新连接到网络,”他写道。
Tantleff说,“陪审团仍然存在,”特朗普是否能够改善奥巴马的记录。但在他看来,它不是一个非常高的酒吧。
“政府中存在的网络安全程度如果它在大型企业美国存在于大型企业中,”他说。““没有财务或医疗保健机构会舒适 - 美国人也不是我们目前的努力。”
这个故事,“奥巴马的网络安全遗产:良好的意图,良好的努力,有限的结果”最初出版CSO 。