拜登總統說：“我認為，如果我們最終陷入一場戰爭——一場與一個大國的真正的槍戰——這將是一場具有重大的網絡入侵的后果，而且這種后果將呈指數級增長，那么我們很有可能會結束這場戰爭。”

　　布拉德·威廉姆斯

　　2021年7月28日

　　華盛頓消息：拜登總統今天發布了一份關于改善關鍵基礎設施網絡安全的國家安全備忘錄，旨在鼓勵關鍵基礎設施所有者和運營商自愿采用更好的網絡安全標準。

　　該備忘錄旨在解決美國一位高級政府官員周二晚間所說的美國“嚴重不足”的網絡安全態勢，這離拜登的講話還不到24小時。拜登說，網絡攻擊有朝一日可能導致一場“真正的射擊戰爭”。

　　拜登總統周二在訪問國家情報總監辦公室時表示：“我認為，如果我們最終爆發一場戰爭——一場與大國的真正槍戰——那么我們很有可能最終會結束這場戰爭。

　　這位高級行政官員表示，除其他事項外，國家安全備忘錄將試圖使目前”零敲碎打地通過的部門特定法規拼湊在一起，通常是針對某些引起公眾關注的部門的離散安全威脅“。行政部門有權對私營部門規定長期網絡要求。

　　備忘錄特別涉及工業控制系統（ICS），該系統監控、調節和自動化操作技術（OT）——一個涵蓋硬件和軟件的單元，可實現基礎設施物理組件（如斷路器、電機和閥門）的功能。從電網和電信網絡到制造廠、公共交通系統和能源管道，OT 在關鍵基礎設施環境中非常普遍。

　　在某些情況下，受損害的 ICS/OT 可能會使攻擊者對系統造成物理損壞，甚至造成大范圍中斷。也許最有名的例子是震網（Stuxnet）事件，發生于2010年。Stuxnet將矛頭對準了控制伊朗納坦茲核濃縮設施離心機的ICS，最終摧毀了離心機，使伊朗的核計劃倒退了幾年。人們普遍認為Stuxnet是美以合作，但兩國政府都從未承認參與。

　　5月對美國輸油管道的勒索軟件攻擊說明了一個棘手的問題：傳統信息技術和ICS/OT網絡的融合。在管道事件中，該公司先發制人地關閉了管道的 ICS/OT 網絡，以防止攻擊者將 IT 網絡傳輸到控制管道運營的 ICS 網絡，這可能會對管道造成潛在的物理損壞。勒索軟件沒有直接針對管道的ICS/OT網絡，但ICS網絡關閉導致東海岸上下燃料普遍短缺，持續了數天。

　　ICS/OT網絡攻擊也成為五角大樓日益關注的問題，五角大樓的基地在國內外都得到了潛在脆弱網絡的支持。雖然備忘錄不是針對美國農業部的，但支持軍事基地所需的基礎設施（如電力和水）通常來自公共事業，這些公用事業已被證明是威脅行為者的容易目標。五角大樓的規劃人員已經承認，人們擔心飛機會因為機庫的門被鎖上或者美軍被被黑客入侵的供水系統毒害而無法使用。

　　備忘錄將部分通過”網絡績效目標“解決 ICS/OT 安全問題，美國政府希望關鍵基礎設施所有者和運營商能夠自愿采納這些目標。美國國土安全部的網絡領導，網絡安全和基礎設施安全局，以及國家標準與技術研究所將制定績效目標。

　　美國政府認為至關重要的基礎設施中，大約80%至90%是由美國私營部門擁有和運營的。這使得政府保護政府安全的努力復雜化，因為私人實體歷來不愿允許國家當局監控或主動干預其網絡。為此，這位高級政府官員表示，確保關鍵基礎設施的安全需要”全國“的方法，并指出”聯邦政府不能單獨做到這一點“。

　　另一個復雜的因素是，私營部門實體和政府之間缺乏及時的網絡信息共享。參議員馬克·華納、D-VA和其他許多人上周提出了兩黨立法，如果獲得通過，要求關鍵的基礎設施所有者和運營商在發現后24小時內向政府報告任何”構成國家威脅“的違規行為。

　　由于美國行政部門對私營部門施加長期網絡安全授權的權力有限，備忘錄旨在鼓勵自愿行動。永久授權需要美國國會通過。不過，這位官員表示，政府正在”探索我們為授權（網絡）標準所能做的一切“，并舉例說明運輸安全管理局上周發布的新一輪管道網絡安全規則。

　　該備忘錄只是政府在過去兩年中一系列備受矚目的網絡攻擊之后，為加強國家網絡安全而作出的最新努力，包括管道、SolarWinds和微軟交易所服務器黑客攻擊，后者于7月19日正式歸因于A國。

　　備忘錄之前，除其他行政行動外，5月的網絡安全行政命令，美國國土安全部3月推出的60天勒索軟件”沖刺“（在此期間，管道攻擊發生），以及能源部4月推出的一項旨在網絡安全的電力公用事業部門倡議。

　　備忘錄還遵循了其他政府實體的警告，如美國國家安全局在4月份呼吁審查OT安全。美國國家安全局在管道黑客攻擊開始前一周發布了這一通報。

　　這位高級官員說，該備忘錄符合美國政府改善國家網絡安全的三管齊下的做法。這種方法包括實現網絡防御的現代化，制定針對網絡的政策和政府資源，以及建立國際聯盟來對抗實施網絡攻擊的國家和罪犯。這位高級官員說，該備忘錄旨在直接解決政府戰略的第一個部分，即網絡防御的現代化。

　　”我認為我們表現出了做我們需要做的工作的意愿，“這位政府官員周二晚間表示，”我認為我們表現出了以新的方式分享信息的意愿，[以]自愿的方式提出，但我們也明確表示，鑒于威脅的嚴重性，我們需要緊急行動，我們需要研究所有選項——自愿和強制性的——以實現我們需要的快速進步。