马克·蒙哥马利和罗伯特·莫格斯

2021年1月7日

尽管围绕SolarWinds的头条新闻,美国总统当选人拜登和副总统当选人卡马拉·哈里斯即将继承的行政部门在网络安全的正确方向采取缓慢行动。但是,仍然有大量工作要做,以加快变革步伐,以寻求改善的联邦网络安全以及在此问题上的公私合作。刚刚成为法律的《 2021财年国防授权法》提供了推动该国前进的许多必要工具,其中包含近70项与网络相关的规定,其中27项落实了网络空间日光浴室委员会2020年3月报告中的建议。在这70项中,最紧急和最重要的规定是建立国家网络总监办公室。

这位国家网络总监将担任白宫的几个重要领导角色,这些角色在过去四年中,或者在某些方面在过去四年在政府中已经完全丧失或缺乏实际效力。这位国家网络总监将担任总统在网络安全和相关新兴技术问题方面的首席顾问,监督和协调联邦政府在面对敌对网络行动时捍卫美国的活动。国家网络总监还将充当与私营部门以及州和地方政府的主要联系点。

在总统执行办公室内设立新的内阁级办公室始终是一个挑战,但是在总统过渡期间以及在类似SolarWinds黑客之类的危机之后,这样做确实使该过程变得非常复杂。但是,可以从最近的大流行中学到的关于网络安全的最明显的教训之一是,在危机时期,白宫的集中领导对于协调联邦政府的应对工作并与重要的私营部门利益相关者保持联系至关重要。以下是网络空间日光浴室委员会工作人员的一些建议,这些人员帮助向国家网络总监提出了关于即将上任的拜登政府如何开始的建议,该建议已表明它将优先考虑网络安全。

有授权的办公室

拜登政府应迅速宣布其提名为国家网络总监的人,并优先通过参议院对该人的确认。即使在确认之前,主管部门也可以开始为办公室配备人员。人员配置工作应平衡所有可用的招聘机构-从政府外部引入人员-并指定哪些部门和机构可以向办公室提供详细人员,以有效地建立其75名员工。目标应该是在3月1日之前建立办公室,最初拥有25名员工,在5月1日之前完全拥有75名员工。

在功能完善的办公室的支持下,国家网络总监一经确认,便可以迅速建立总统执行办公室与科学技术政策办公室,国家经济委员会,国内政策委员会之间的适当对等关系和互操作性,管理和预算办公室以及国家安全委员会。

同时,国家网络总监将需要与内阁相关官员以及部门和机构负责人建立快速关系。这不仅对于确立国家网络总监作为总统国家网络政策的实施者的作用非常重要,而且对于在网络优先级和能力方面更好地了解每个相关部门和机构目前所处的位置也很重要。这将包括部门和机构自己的部门IT系统的网络安全,以及它们与指定的民用基础设施部门(即能源,水,管道等)的关系。

正如2020年3月网络空间日光浴室委员会的报告所强调的那样,并且政府问责办公室的评估通常得到强调,联邦各部门和机构在关注网络安全问题,与指定关键基础设施部门的接触或两者之间存在很大差异。。随着2021财年《国防授权法》将这些机构编纂为“部门风险管理机构”,在国家网络总监与部门风险管理合作并通过部门风险管理进行合作时,了解国家网络总监的优势和劣势至关重要机构来改善美国关键基础设施的网络安全状况。

最后,国家网络总监应担任网络响应小组和网络统一协调小组的领导。这些小组是由总统政策指令41创建的。网络响应小组负责协调网络政策的制定和实施,而网络统一协调小组则根据需要站起来,在事件响应期间协调联邦机构之间的工作,并整合私营部门合作伙伴。努力。这两个小组的工作都应通过国家网络总监向国家安全顾问负责。

战略和实施工具

有了办公室,任命了一名国家网络总监,并在办公室与相关部门和机构之间建立了联系,然后该国家网络总监便可以开始制定总统的国家网络安全策略。在2018国家网络战略是个不错的开端,但它缺少一些重要的元素,如建立公共-私营部门合作一个详细的路线图,并捍卫着整合和持续参与到更广泛的国家战略。

一个有效的网络空间国家战略应明确同步主要利益相关者的活动和目标,包括州和地方政府以及私营部门。它还应确定工作的核心路线,例如优先考虑关键基础设施的安全,整合和利用美国国家力量的各个方面以及改善更广泛的国家网络生态系统的安全。在制定策略时,国家网络总监还应优先考虑与国家安全顾问和国家情报总监合作,以正确阐明美国的进攻性网络策略。

国家网络总监可能需要建立一个国际联盟来实施该策略的各个方面,其中包括倡导规范,加强建立信任的措施,对网络威胁进行外交回应以及建立美国合作伙伴和盟国的能力以促进网络安全和打击网络犯罪。因此,国家网络总监应与国务院合作,通过组建网络空间安全和新兴技术局来优先考虑国际网络参与。虽然该局的某些组成部分,例如建立相当于秘书的助理职位以领导办公室,最终将需要国会的支持,但国家网络总监可以通过与国务卿合作建立该局来开始这一过程。

国家网络总监还需要支持通过《 2021财年国防授权法》新成立的联合网络规划办公室,以确保有效实施新的《国家网络战略》。联合网络规划办公室旨在协调整个联邦政府以及公共和私营部门之间的网络安全规划和准备情况。国家网络总监应尽早与该办公室合作,为诸如《经济连续性计划》之类的倡议提供意图和方向,并确保与国土安全部网络安全和基础设施安全局的部门之间进行有力的合作。

参与私营部门

除联合网络规划办公室外,国家网络总监还应在联邦政府与私营部门之间建立更牢固的关系。尽管网络安全和基础设施安全局应继续是美国政府与私营部门在网络安全方面进行合作的运营机构,但国家网络总监应作为白宫内部网络安全主管的高层联络人。现在经常打这些电话的国家安全顾问应该特别感谢这位国家网络总监的任务。

国家网络总监在私营部门中的作用并不仅限于建立关系。国家网络总监将在促进旨在与私营部门更紧密合作的许多新计划中发挥不可或缺的作用,包括部门风险管理机构的成熟和启动经济计划的连续性。更广泛地讲,国家网络总监将需要找到有效的方法与私营部门共享网络情报和信息,并建立一个通过联合协作环境等方式进行分析协作的流程,这将允许联邦政府在内部和外部实时共享威胁信息。这位国家网络总监还将努力探索各种方法,以更好地实现私营部门的网络防御,并激励创建更安全,更具防御性的网络生态系统。

展望未来

这位国家网络总监可能是最有能力的人,可以研究短期和长期的未来,以确定美国政府应发展和优先考虑的能力。尽管对SolarWinds而言为时已晚,但许多必要的更改只是通过《国防授权法》成为法律。这些措施包括增加联邦网络上威胁搜寻的权限,以及增加对搜寻和事件响应团队的资助,即网络安全和基础设施安全局的能力,用该机构的话来说就是“为关键基础设施部门以及联邦,州,地方,部落,和地域级别。” 这些都是重要的变化,但是国会可能需要做更多的事情,而国家网络主管将需要确定美国政府需要哪些其他权限来更好地与私营部门合作并完成其网络使命。

一个很好的起点是审查美国国会尚未通过的网络空间日光浴室委员会的其余立法建议,以及针对行政部门和仍需采取进一步行动的美国行业的建议。特别是,创建“网络危机状态”将使网络安全和基础设施安全局释放资金,偿还国防部在民防当局的国防支持下采取行动的运营商的费用,以增强危机时刻的事件响应和恢复能力。

网络世界中许多人都熟悉的摩尔定律认为,电路板上的晶体管数量每18个月将增加一倍,并由此提高我们的计算能力。网络政策遵循类似的法律,其中情况不断变化,大约每18个月就需要新的政策和法律。白宫应该足够敏捷以跟上步伐。国家网络总监办公室是朝着正确方向迈出的一步,但最初的18个月不仅对确保其成功,而且对于确保国家的成功至关重要。国家网络总监应建立办公室,制定新策略,并可能与立法者合作制定进一步的法律。

总之,国家网络总监应准备就绪并有能力领导行政部门应对下一组网络安全挑战,无论挑战如何。

作者简介

马克·蒙哥马利(Mark Montgomery)是民主政治防御基金会网络与技术创新中心的高级主任,也是网络空间日光浴室委员会主席的高级顾问。

罗伯特·莫格斯(Robert Morgus)是美国网络空间日光浴室委员会的高级主任,负责第二工作组的研究和分析。在委员会上,Morgus领导了委员会最终报告以及大流行性白皮书和供应链白皮书的生态系统支柱的开发。在此之前,他帮助建立了新美国的网络安全计划,并领导该组织的国际网络政策工作。

声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。