虽然很多争论已包围总裁唐纳德·特朗普的羽翼未丰的管理,还没有面临重大危机。
但根据福里斯特研究公司(Forrester Research)的数据,除了政治或军事事件之外,美国人对美国人的看法也不一样新总统上任100天内将面临网络危机。
该公司在去年秋天大选前,作为“2017年预测”简报的一部分做出了这一预测,所以它并没有特别关注特朗普或民主党候选人希拉里·克林顿。
但它说,“赢得选举的势头给新总统提供了公众赞助,以贯彻其竞选活动的关键倡议。”然而,第45任总统将会因为发现(自己)面临网络安全事件而失去上任时的势头。”
福雷斯特简报说,可能出现的危机可能包括来自另一个国家的网络攻击,也可能是美国国内对新的数字安全和隐私法的激烈辩论。
考虑到公共和私营部门接连不断的重大网络事件,这样的预测似乎就像预测特朗普会在本周某个时候上Twitter一样确定。
作为达纳Simberkoff,首席合规性和风险官,在重大节日或把它“表明,危机不会在未来100天内发生的可能不是相反更有争议的一点。”
但是,当然,“危机”可能意味着事情不同的人。
Forrester的首席分析师杰夫•波拉德(Jeff Pollard)将其描述为:“任何干扰个人或公司专注于他们想要完成的事情的行为。”
他说,袭击的后果——调查、可能采取的法律行动和解决问题——可能需要数周甚至数年时间,这足以“把人们的注意力从有关各方的其他优先事项上转移开”。
但在其他专家看来,这并不等于一场危机。
杰弗里·卡尔是《20K联盟》的作者和首席顾问,他说奥巴马政府最大的网络事件之一——the2014年违反联邦人事管理办公室(OPM)超过2200万份现任和前任联邦雇员的个人记录被泄露——“很糟糕,但这不是危机。”
与此类似,他说去年秋天的DDoS攻击,利用Mirai僵尸网络摧毁了互联网骨干提供商Dyn“这是一记警钟,对地区产生了一些重大影响,但它不是一场危机。”
在他看来,一场危机会在以下几个方面“干扰我们的关键基础设施”:
- 交通运输业,尤指航空、火车和卡车运输
- 金融服务,如股票交易
- 电网,包括在持续的一段时间内重复停机
Blancco科技集团的首席战略官Richard Stiennon说,这可能是一场人事危机,就像政府“努力寻找网络防御的领导地位”,但也可能来自民族国家的对手。
“这很可能是朝鲜展示其实力的最后一搏。这可能是俄罗斯对关键基础设施的攻击,同时在东欧采取一些军事行动。这可能是一次乌克兰式的停电,”他表示。
GreyCastle保安公司的首席执行官雷格·哈尼斯说,a“推特劫持”总统的账户可能会引发危机。
他说:“不要低估虚假推特的力量——它们已经压碎了股票价格,毁掉了人们的职业生涯,并动员各国采取军事行动。”“有无数的事情可以做。”
他说,这可以从一个攻击者欺骗特朗普的推文开始,称他已经决定公布自己的纳税申报单,并加上一个链接来查看这些申报单。
“30分钟之内,就会有1800万人点击这个恶意链接,从而感染他们的电脑,并进入全球的企业网络。”可能性是无穷的,”他说。
但哈尼斯也认为,国家支持的网络攻击会对“我们的情报平台、军事、工业基础和关键基础设施”造成更大的破坏。
大西洋理事会(Atlantic Council Statecraft Initiative)创始理事、哥伦比亚大学(Columbia University)网络冲突和风险高级研究学者杰森•希利(Jason Healey)认为,危机的意义要比每年发生数十至数百次的重大入侵和攻击更为重大。
他说:“我担心的情况是,朝鲜除了对导弹和核试验大发雷霆之外,还会对网络大发雷霆;中国、伊朗,或者不太可能的俄罗斯,对破裂的协议变得不耐烦并猛烈抨击,尽管这似乎需要70多天才能展开;以及与地缘政治事件无关的随机网络攻击,比如重大蠕虫病毒或犯罪的DDoS。”
这些事情都有可能发生,这就提出了一些明显的问题:特朗普政府准备好了吗?有哪位总统能准备好应对如此大规模的网络危机,不仅是在上任后的100天内,而是在整个总统任期内?
专家们普遍认为,克林顿可能会准备得更好,这在很大程度上是因为即将离任的奥巴马政府和她的政府之间会有更多的人员配备连续性。
希利说,克林顿团队“有几十份准备好的政策备忘录来处理这些问题,并有一个庞大的团队来填补白宫、国土安全部、国防部、国务院、商务部和情报部门的关键职位。”
他说,他还认为发生重大危机的风险将会降低,因为“她将不太愿意让其他国家想要用网络攻击进行报复。”
但他们也同意,目前还没有一届政府真正为网络危机做好准备。卡尔和其他人说,风险远远超出总统的范围。“我们不会因为任何一位总统而受到网络危机的伤害,”他说。“问题出在私营企业身上,它们拥有我提到的这些地区90%的关键基础设施。
“所以无论是特朗普、奥巴马还是任何其他总统都无法阻止它的发生。”
斯汀农同意了,尽管原因不同。他说,虽然奥巴马政府通过政策和行政命令对网络安全给予了重大重视,但“没有采取具体行动来降低受到网络攻击的可能性。”
他说:“虽然已经进行了评估,计算了风险,甚至聘请了新的CISO,但加强认证、授权和锁定系统的艰巨任务仍然摆在我们面前。”
而且,正如广泛报道的那样,虽然有从特朗普行政长官派两个草案(EO)的网络安全总统还没有签署。
哈尼什也说没关系谁是总统 - 政府是措手不及。“不是因为我们的技术是不够的,而是因为我们的人民,”他说。“如果你认为网络安全风险回落到什么,但人,你错了。有没有例外“。
尽管所有这些听起来都不太好,但专家们表示,新政府并非无能为力——它可以做一些事情,既可以降低风险,也可以有效应对袭击。
辛伯克夫说,政府和其他组织一样,应该假定自己已经被攻破。她说:“这样一来,你就可以随时准备推出应对计划和沟通策略。”“危机既关乎现实,也关乎感知。有一个非常明确的计划来准备漏洞是至关重要的。”
尼斯表示同意。“预防是一个失败的概念——没有办法避免或预防所有的网络犯罪。关键是要知道它什么时候发生,并做好充分的准备,把它的影响降到最低。这需要有一个有效的事故反应计划,受过高度训练的反应人员和安全文化。”
但他说,这需要“非常艰苦的工作”。现在人们似乎对努力工作不太感兴趣了。”
卡尔说,政府可以先“投入资金建设有弹性的、独立的系统,这样,如果一个系统崩溃了,另一个系统可以接管。”然后为私营企业提供建设它们的激励措施。”
斯汀农说,从特朗普最初泄露的关于网络安全的EO草案来看,他有一些希望,“希望政府已经认识到在内阁层面分配责任的重要性。”在网络安全领域,除非有人的工作依赖于它,否则什么也做不了。”
这篇文章名为《网络危机会不会加剧特朗普执政头100天的混乱?CSO 。