汤姆·乌伦,2020年11月11日

澳大利亚的网络安全战略已经更新,与上一版相比有着截然不同的愿景。

澳大利亚的《2016年网络安全战略》试图解决以下问题:“我们如何在互联世界中确保我们的繁荣?” 该战略侧重于增长、创新和经济机会,并认可了澳大利亚在国际社会中倡导“开放、自由和安全的互联网”的作用。这种关注在很大程度上是由当时的总理马尔科姆·特恩布尔(Malcolm Turnbull)推动的,他是前技术投资者,对技术和网络安全问题有个人兴趣。2016年战略是由总理和内阁部制定的,在发布之日,特恩布尔宣布担任网络安全总理特别顾问的新职位。

在2020年的战略,相反,是由发展家庭事务部、以澳大利亚国内为重点的国家安全和执法部制定的。它旨在建立“更加安全的在线世界”,并提出了“保护澳大利亚在线用户的计划”,重点关注执法和加强澳大利亚国家网络安全组织,澳大利亚网络安全中心(ACSC)和澳大利亚信号局( ASD,相当于澳大利亚的GCHQ),但在经济上远没有那么雄心勃勃。

从执法和威慑的角度来看,2020年战略更为稳健:

我们致力于积极防止网络攻击,将损害降到最低,并对针对我们国家利益的恶意网络活动做出响应。我们否认和威慑,同时平衡了升级风险。我们的行为是合法的,并与我们追求的价值观保持一致,因此将是相称的,始终与实际情况相关且相互配合的。我们可以选择不回应。

该战略的大部分资金都投向了ASD和ACSC,以扩大其人员、研究和数据科学能力,国家感知和威胁共享。有趣的是,ASD的部分资金用于破坏海上网络犯罪。ASD具有立法授权以“通过电子或类似方式防止和破坏澳大利亚以外的人或组织实施的网络犯罪”。澳大利亚联邦警察局还获得了资金,以增强“他们调查和起诉网络罪犯的能力”,使他们能够“与合作伙伴建立目标开发团队,建立技术网络能力,并增强运营能力”。简而言之,政府正在提供大量资金,以建立通过法律体系或使用进攻性网络能力来发现和理解离岸网络犯罪并破坏其功能的能力链。

尽管分配的大部分资金流向了国防和执法机构,但明智的,并且更加重视的是政府,企业和社区之间的共同责任,并且该策略对每个机构都有各自的行动。

网络安全是整个经济问题,该战略正确地突出了私营部门的作用。这是一种分层方法,在低端似乎还不完善。对于一般企业而言,该策略仅预示了加强监管和立法的可能性,政府将发布自愿的《物联网制造商行为准则》。考虑到当前的威胁环境,这两种措施似乎都太过尝试。高端要求更好。关键基础设施将承担更多的安全义务,而“对国家最重要”的关键基础设施的子集将被指定为“具有国家重要性的系统”,并承担了共享威胁和网络安全信息的义务。

该战略还支持私营部门保护消费者的努力,例如Telstra的Cleaner Pipes倡议,该倡议保护公司的客户免受网络钓鱼和恶意软件等无所不在的威胁。该策略为“战略缓解和破坏选择”分配了一些资金,后来,“清洁管道”被称为我与政府和私营企业合作的试点计划。这是一项有希望的努力,可以带来实际的好处,应该加以扩大。

还有另外两方面的努力:提高澳大利亚的技能;以及对中小企业和弱势澳大利亚人的支持。从金钱上讲,这些都是相对较小的计划,即使到那时,将近一半的技能提升资金都集中在国防网络员工身上。对中小企业的支持主要集中在扩大范围和提高意识方面,尽管为支持网络犯罪的受害者付出了很小的努力。

该战略也有未获资助的倡议。政府还旨在通过“以身作则”来提高政府安全性,该战略旨在通过集中管理和运营大量政府网络来提高网络安全性。当这项努力取得成果时,在没有额外资金的情况下真正改善政府安全肯定值得进一步分析和宣传。

还有一个关于国际参与的章节,该战略承认澳大利亚政府在能力建设和塑造国际行为中的作用。它还在“ 2017年国际网络参与战略”的基础上,预示了政府的“网络和关键技术国际参与战略”。

澳大利亚的2020年网络安全战略正确地履行了责任:我们每个人对网络安全负有共同责任,该战略确定了政府,企业和社区的责任。该策略正确地确定了关键基础设施的义务,但是对于其他业务而言却过于温和。政府现在应该提高网络安全标准,而不仅仅是谈论将来可能提高标准。但是,战略中的资金分配削弱了这种共同承担责任的言论-我们所有人都有责任,但是执法和国防部门却能从中获利。

作者:汤姆·乌伦Tom Uren)是澳大利亚战略政策研究所国际网络政策中心的高级分析师。

声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。