网络安全专家称20亿美元太少且太晚

周一，拜登总统签署了这项规模庞大、具有历史意义的基础设施法案，其中包括近 20 亿美元用于网络安全。其中，10 亿美元将分配给州、地方、部落和领土政府，而 2100 万美元将分配给国家网络主管办公室，该机构负责就所有与网络安全相关的事务向总统提供建议。到目前为止，这个新成立的机构在聘请网络安全专家方面还无法与私营部门竞争。

美国政府还将招聘联邦公路管理局网络协调员，并投入 1 亿美元用于处理国土安全部认为“重大”的网络安全事件。

白宫宣布，该法案将“使我们的社区更加安全，使我们的基础设施更能抵御气候变化和网络攻击的影响。”然而，网络专家承认，美国比俄罗斯或中国等国家落后了好几年。

网络安全咨询公司 Fortalice Solutions 首席执行官兼首席顾问 Theresa Payton 表示：“如果我们十多年前就这么做了，那就太好了。随着网络犯罪集团、民族国家、独狼的出现，这场完美的风暴向我们袭来，全球疫情加速了它的到来。”

以下是您需要了解的有关加强美国网络安全的最新、最艰巨的举措。

我们还有理由抱有希望吗？

安全公司 Unit 221B 的首席研究官 Allison Nixon 对此仍持怀疑态度。她说：“过去十年，我们一直饱受俄罗斯和中国的羞辱。”

尼克松担心的是，美国远远落后，追赶上来需要太多时间。“这是十年的积压，十年的网络犯罪失控，”她说。“要消除这种情况需要花费十多亿美元。”

她指出，这是一个积极的举措，但这一举措需要延续到下一届总统政府。“现在这是一项艰巨的任务，我们最终同意这是一项值得完成的任务，”她说，“但这实际上依赖于这个国家比现在更加政治稳定。谁知道四年后网络安全是否会取得更多进展呢？”

这笔钱该怎么用？

Fortalice Solutions 的佩顿说，她经常被问到在网络安全上花多少钱才够。佩顿在成为白宫首席信息官之前，曾于 2006 年至 2008 年负责乔治·W·布什总统的 IT 运营，她总是说这取决于该项目的长期可持续性。

“人们会问花多少钱才够建造防飓风或防火的建筑，因为我们谈论的是生命，所以人们会说，这无价之宝，”她指出，网络安全也关系到人们的生命。

[相关：美国正在对宽带互联网进行有史以来最大规模的投资]

Payton 希望看到制定一份成熟路线图，帮助地方政府制定持续的网络维护预算。“今天你拿到钱来建桥，并不意味着明天你就有钱来维护它，”她说。“注入资金是好事，但它是否可持续？”

对于 Payton 来说，长期计划首先包括锁定机器对机器、应用程序对机器和用户对机器的访问，并对所有访问实施多因素身份验证。下一步将是同行评审已在云上实施的所有安全和隐私配置。最后一步是创建离线冷存储中保存的第三份数据备份，与操作断开连接，以防勒索软件攻击。她说，这些都是基本原则，如果不从待办事项清单中勾选这三项，其他任何事情都不应该发生。

大多数美国人都曾成为至少一次网络犯罪的受害者，即使没有，他们也至少目睹过一些可怕的犯罪。“当人们无法加满油送孩子上学时，当人们因为肉类加工厂停工而无法上班时，当医院关闭时，这些都是一些关键基础设施遭到破坏，”佩顿说。“有图片，有真正的受害者，有真正的影响，这是有形的，显而易见的。”正因为如此，她相信这个项目将继续实施，直到下一届政府。

为什么我们现在的网络安全这么差？

前美国国家安全局局长、现任加州 Area 1 Security 首席执行官的 Oren Falkowitz 表示，过去十年，各公司在网络安全方面投入了大量资金，但收效甚微。部分原因是缺乏现代化。令人惊讶的是，许多州和地方政府没有使用托管云服务，没有与服务提供商合作来保持技术更新，保护和备份敏感信息。

“如果你在 2021 年运行自己的 Microsoft Exchange 电子邮件服务器，那么你就远远落后了，”Falkowitz 说。“这意味着你每天都必须做到完美，每天都必须拥有最新的补丁，你必须拥有正确的配置。”

[相关：基础设施一揽子计划推动农村交通的无名英雄：渡轮]

然后就是攻击发生的方式，通常是人为错误的结果。Falkowitz 说，如今至少有 90% 的网络攻击是电子邮件钓鱼活动的结果，对他来说，开发技术来防止人们点击未经验证的电子邮件链接比建立运营中心或想出令人兴奋的新方法来共享信息更重要。他最近进行的一项研究发现，超过一半的美国州和地方选举官员没有基本的网络卫生知识，没有能力保护自己免受网络钓鱼攻击，并使用个人电子邮件来履行政府职责。

在 NSA 任职期间，Falkowitz 与网络安全和基础设施安全局局长 Jen Easterly 以及国家网络主管 Chris Inglis 共事。“他们知道如何完成任务，并且从进攻和防守两个方面对问题都非常了解，”他说。“现在的关键是人们是否会去完成任务。”