網絡專家說,8月25日在白宮舉行的峰會顯示了拜登政府和私營部門在網絡安全方面的積極勢頭,但也暴露了仍然存在的不足。觀察人士指出,這些承諾雖然令人印象深刻,涵蓋了資金、技術、人才、保險、標準等多個方面,但需要相當多的后續行動,從擴大到其他部門到業界和政府之間更緊密的關系,才有可能在未來產生積極的網絡安全對抗態勢新變化。
峰會成果遠不止IT巨頭巨額投資承諾
這次備受矚目的會議匯集了來自教育、能源、金融、保險和科技行業的首席執行官。包括 ADP 總裁兼首席執行官 Carlos Rodriguez、Alphabet 首席執行官 Sundar Pichai、亞馬遜首席執行官Andy Jassy、蘋果首席執行官蒂姆庫克、IBM董事長兼首席執行官Arvind Krishna博士和Satya Nadella,董事長兼首席執行官微軟首席執行官。美國銀行、摩根大通、TIAA 和美國銀行的 CEO 代表金融業出席了會議。四家領先保險公司的 CEO 以及七家水務和能源公司的 CEO 也出席了會議。還有來自教育界的五位負責人。
與會者分為三個獨立的會議。第一個是關鍵基礎設施彈性,由國土安全部長 Mayorkas 和能源部長 Granholm 主持,金融、能源和水務高管參加。第二場會議“構建持久的網絡安全”由商務部雷蒙多部長和 SBA負責人古茲曼主持,高科技和保險業高管出席了會議。教育領導人參加了第三次會議,專門討論網絡安全人力資源供給,由國家網絡總監英格利斯主持。
峰會的主要成果除了蘋果、谷歌、微軟、IBM、亞馬遜等IT巨頭未來五年的300多億美元投資外,保險業、教育界的動作也格外引人注目。網絡安全保險提供商 Resilience 表示,它將要求保單持有人達到網絡安全最佳實踐的門檻,作為獲得保險的條件。另一家保險提供商 Coalition 將向任何組織免費提供其網絡安全風險評估和持續監控平臺。
致力于擴大學校計算機科學普及率的非營利組織CODE.org,承諾在三年內向 超過300萬學生教授網絡安全概念,培訓多樣化的學生群體以保持在線安全,并培養對網絡安全的興趣一個潛在的職業。
德克薩斯大學(UT)系統表示,它計劃擴大現有項目并在網絡相關領域開發新的短期證書,以加強美國的網絡安全人才。UT 系統旨在通過 UT 圣安東尼奧的網絡安全制造創新研究所提供入門級網絡教育計劃,在全國范圍內提高或重新培訓超過100萬技能人才。最后,華盛頓貝靈厄姆的 Whatcom 社區學院宣布它已被指定為新的國家科學基金會先進技術教育國家網絡安全中心。它將為教職員工提供網絡安全教育和培訓,并支持大學的計劃開發,使學生從大學到職業“快速通道”。
此外,美國國家標準與技術研究院 (NIST) 將進一步加強與行業和其他參與者之間的合作,提高技術供應鏈(包括開源軟件)的安全性和完整性。
工業控制系統網絡安全倡議正式擴展到電力公司之外,包括天然氣管道。
網絡專家表示謹慎樂觀稱關鍵在后續行動
國會網絡安全核心小組聯合主席吉姆·朗格文 (Jim Langevin) ,賽博空間日光浴室委員會成員,在一份聲明中說,拜登政府持續的網絡安全運動的這一最新進展引起了至少一位重要立法者的贊揚。“多年來,我一直呼吁白宮在網絡安全方面發揮更持久的領導作用,而拜登總統正在展示我們應對挑戰所需的強大領導力,”“總統的網絡安全峰會在他上任的頭七個月里繼續他前所未有的一系列重大網絡舉措。”
非營利組織全球網絡聯盟(Global Cyber Alliance)的梅根·施蒂費爾(Megan Stifel)稱贊白宮舉辦了這次會議,以及這些公司做出的廣泛承諾,但她說,這表明美國可以在改善國家網絡安全方面還可以走得很遠。Stifel曾擔任國家安全委員會(National Security Council)工作人員,現任北約全球政策官員和能力與彈性項目主管,他說:“一些人一直在為我們要表揚那些已經在做的事情而感到掙扎。”
前白宮工作人員阿里·施瓦茨(Ari Schwartz)說,僅僅是在阿富汗成為新聞頭條之際召開峰會,就發出了一個重要的信號。施瓦茨目前擔任Venable的網絡安全服務經理,領導著網絡公司網絡安全聯盟(cybersecurity Coalition of cyber firms)。施瓦茨說:“這是一件好事,可以邀請來自不同行業的首席執行官,確保他們關注最重要的網絡安全領域,并繼續幫助他們了解,盡管發生了各種事情,網絡仍然是政府的首要問題。”他代表多個客戶參加了會議。“對于白宮和總統來說,與他們共度一個小時的時間,這是重要的信息。”
參議院國土安全部主席加里·彼得斯(Gary Peters),密歇根州民主黨人。他說,該行業的承諾“不僅將加強自身的安全,還有助于保護我們的關鍵基礎設施和美國人免受這些無情的威脅。”
特別是,許多人對教育部門的合并表示贊賞。除了與總統的會議,這些公司還聚集在網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)局長珍?伊斯特利(Jen Easterly)和國家網絡總監克里斯?英格利斯(Chris Inglis)等高級政府官員牽頭的部門間討論中。
紐約州民主黨眾議員伊薇特·克拉克是國土安全部網絡安全小組的主席,她說,她“感謝我們的私營部門合作伙伴做出的承諾,加強他們的網絡安全努力,特別是那些圍繞我們的網絡工作人員和與歷史悠久的黑人學院和大學的合作伙伴,委員會主席、密西西比州民主黨人本尼·湯普森也有同感。但克拉克也表示,在政府和行業之間的相互作用方面還有”更多工作要做“,比如她正在努力建立兩黨立法,規定企業必須報告網絡事件。
非營利性組織網絡準備研究所(Cyber Readiness Institute)的常務董事基爾斯滕·托德(Kiersten Todt)表示,”關鍵在于后續行動。“例如,考慮到保險業影響網絡安全的潛在能力,將其納入會議是明智的,但她希望看到其他行業部門也納入未來的討論。”重要的是,每個人都要認識到,這是一個具有代表性的群體,但肯定不是一個全面的群體,“她說。(蘋果公司(Apple)首席執行官蒂姆?庫克(Tim Cook)也參加了此次會議,該公司最近加入了托德的研究所,并承諾將在其供應商中推廣多因素認證和其他安全措施。)
前共和黨眾議院情報委員會職員,現在作為IronNet網絡安全高級副總裁賈米爾表示,”重要的私營部門的承諾“的會議可以為更多需要公私合作維護集體利益并阻止網絡威脅。
紐約州眾議員、眾議院國土安全委員會(House Homeland Security committee)的共和黨領袖卡特科(John Katko)說,他將關注兩家公司值得稱贊的承諾如何導致進一步行動。他說:”這些項目需要在未來幾個月里得到深思熟慮和持續的關注,我們很想知道這些努力將如何與現有的努力相配合。“他補充說,他”期待“正在進行的關于授權CISA和保護關鍵基礎設施的對話。
哈佛大學肯尼迪學院貝爾弗中心(Harvard Kennedy School 's Belfer Center)網絡項目執行主任勞倫·扎比艾瑞克(Lauren Zabierek)說,換句話說,這只是討論的開始。”這個問題的各個方面都有很大的興趣。但歸根結底,要實現這一目標需要什么樣的機制和激勵機制?哪些人在現場實現這一目標?“Zabierek說。”所以在這里有一些很好的倡議,我期待看到我們作為工業界和學術界的人,如何真正努力填補這一空間所需的結構和政策。“
