美国首席信息安全官协会(NASCIO)近期发布两年一度最新的调查报告,结果显示在今年的新冠疫情面前,美国各州CISO同样都面临着新的难题与挑战。
过去七个月以来,各州CISO们迅速采取行动,保证政府各级员工能够在不牺牲网络安全的前提下实现远程办公。他们扩大了VPN、防火墙以及多因素身份验证的使用范围,并针对访问量激增的情况下层出不穷的失业救济金系统欺诈行为做出快速反应。与此同时,以勒索软件攻击和安全预算匮乏为代表的传统网络安全难题仍然存在,这些都增加了人们对联邦政府提供支持的兴趣。
此份报告由NASCIO与德勤公司共同编写,其中提到“CISO们与各州IT部门紧密合作,旨在应对网络安全风险并解决业务连续性需求。尽管CISO们在新冠疫情的冲击下表现出强大的韧性,但此次事件也暴露出各州IT及网络安全系统面临的一系列长期挑战。”
01 集中治理受到重视,但仍未成为常态
像是NASCIO在本次发布的年度首席信息官调查报告中强调的那样,CIO们在州一级政府中显示出日益重要的作用。此外,各州的CISO们在此次健康危机中的地位同样有所提升。NASCIO的政策与研究总监、此次报告联合作者之一Meredith Ward表示,这也成为CISO们难得的机遇,得以切实论证网络安全在政府当中的重要意义。
她在采访中表示,“如果非要在这场危机中总结出一点积极的因素,那就是网络安全确实得到了更高的关注与重视。”
她补充称,目前的CISO们基本上同意将网络安全视为集中化功能,而非遍布各部门的联盟机构。这种集中思维拥有诸多优势,但根据对全美51个州及地方政府CISO的调查显示,NASCIO发现仍有半数州政府采用联盟方法来保护信息安全。报告认为,集中治理将帮助各州配备起充分的网络安全人员、培养良好的网络卫生习惯并尽快运用新的工具与程序。
该报告还敦促各州政府与地方政府开展进一步合作,期望能够加深促进“贯彻全州”的实践方式——即在州内各级部门的业务运营、公共安全以及应急管理等方面推进全面合作。事实上,NASCIO与美国州长协会等组织在过去几年内一直在尝试相关举措,遗憾的是这方面进展要比预期慢得多。本次调查中只有34%的CISO称能够与地方安全部门实现“广泛合作”。
德勤公司首席分析师、报告联合作者Srini Subramanian表示,“即使是网络安全意识培训这类相对简单的工作,在很多州仍然处于一片空白的状态。其中的挑战在于如何跨越行政治理模型。我们或许应该更加重视继续努力克服这个问题。大部分CISO表示,他们与地方政府的合作非常有限,而且很少有人关注是否应扩大州一级政府的职能。”
02 CISO应该与CIO一同努力
尽管如此,CISO们在今年的疫情下仍然表现出明显的进步,特别是在保护视频会议、集中化软件以及实现更强大的身份与访问管理策略(例如多因素身份验证)等方面。
在此次调查中,有更多的CISO们将身份管理列为高优先级事务,排名由2018年上一份报告中的第11位跃升至本次的第2位。位列榜首的是风险评估,获得了极高的关注度。
报告还指出,目前CISO们对于拓展IAM策略的热情仍然比较有限——目前全美只有15个州建立起覆盖所有行政分支机构的企业级IAM解决方案。
CISO们在对传统系统的现代化升级方面也表现出积极的态度,这显然也是受到疫情的直接影响。为了应对欺诈分子针对失业救济金发起的种种欺诈活动,CISO们迅速行动了起来。Subramanian指出,这些事件表明CISO有理由与CIO一同站在州政府技术现代化议程的最前列。调查报告也证实了这一推论:在被问及哪些是克服网络安全挑战的最大障碍时,CISO们将遗留系统现代化排在第3位,仅次于预算匮乏与人员编制不足。
Subramanian表示,“CISO们必须站在技术现代化的最前沿。不能只靠CIO,二者应该共同承担这份责任。”
03 各州迫切需要更强大的网络安全能力
当下最紧迫的仍然是资金问题。
Ward表示,“在交流中,几乎每一位CISO都会强调他们需要更多资金来提高网络安全性。”
NASCIO报告曾多次提到联邦政府应提供专门的网络安全资金,并在今年年初将此视为立法工作的重中之重。遗憾的是,相关进展并不顺利。众议院上个月刚刚通过一项法案,旨在建立一项每年4亿美元的拨款计划,但就目前来看恐怕很难在参议院通过。Ward表示,尽管如此,众议院能够支持这项倡议已经是个不错的开端。
Ward指出,“如果七、八年前问我这项立法倡议什么时候能得到众议院的支持,我的答案恐怕是「永远不可能」。但如今若想要各州继续保护联邦数据的话,这笔钱就必须要花,我们也会继续积极呼吁。”
然而更为糟糕的事情在于州议会自己对网络安全资金也不怎么上心。NASCIO于2018年发布的上一份网络安全报告发现,各州平均仅将IT总预算中的1%到2%用于网络安全,而且很少会为网安项目划拨专项资金。到2020年,平均预算份额仍然不足3%,而且只有36%的州设有专门的网络安全拨款。
Subramanian表示,CISO们在申请扩大预算与资源供给时,应以疫情期间的失业金欺诈案作为有力依据。
他提出,“虽然数据泄露与公民信任风险都是大问题,但高达数亿美元的欺诈活动更醒目、更容易吸引到决策者的关注。”
尽管面临诸多挑战,但Ward表示,从被勒索软件支配的2019年到2020年针对新冠疫情下的应对措施中,网络安全负责人对各州领导层的影响也越来越大。
她总结道,“在CISO们的推动下,州政府确实开始认真思考网络安全问题。我们发现,不少州长都在着力听取CISO与CIO的建议。情况正在好转。”
原文链接:
https://statescoop.com/pandemic-cybersecurity-nascio-2020-deloitte-report/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
