拜登總統(tǒng)說(shuō):“我認(rèn)為,,如果我們最終陷入一場(chǎng)戰(zhàn)爭(zhēng)——一場(chǎng)與一個(gè)大國(guó)的真正的槍?xiě)?zhàn)——這將是一場(chǎng)具有重大的網(wǎng)絡(luò)入侵的后果,,而且這種后果將呈指數(shù)級(jí)增長(zhǎng),那么我們很有可能會(huì)結(jié)束這場(chǎng)戰(zhàn)爭(zhēng),。”
布拉德·威廉姆斯
2021年7月28日
華盛頓消息:拜登總統(tǒng)今天發(fā)布了一份關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的國(guó)家安全備忘錄,,旨在鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商自愿采用更好的網(wǎng)絡(luò)安全標(biāo)準(zhǔn),。
該備忘錄旨在解決美國(guó)一位高級(jí)政府官員周二晚間所說(shuō)的美國(guó)“嚴(yán)重不足”的網(wǎng)絡(luò)安全態(tài)勢(shì),這離拜登的講話還不到24小時(shí),。拜登說(shuō),,網(wǎng)絡(luò)攻擊有朝一日可能導(dǎo)致一場(chǎng)“真正的射擊戰(zhàn)爭(zhēng)”。
拜登總統(tǒng)周二在訪問(wèn)國(guó)家情報(bào)總監(jiān)辦公室時(shí)表示:“我認(rèn)為,,如果我們最終爆發(fā)一場(chǎng)戰(zhàn)爭(zhēng)——一場(chǎng)與大國(guó)的真正槍?xiě)?zhàn)——那么我們很有可能最終會(huì)結(jié)束這場(chǎng)戰(zhàn)爭(zhēng),。
這位高級(jí)行政官員表示,除其他事項(xiàng)外,,國(guó)家安全備忘錄將試圖使目前”零敲碎打地通過(guò)的部門特定法規(guī)拼湊在一起,,通常是針對(duì)某些引起公眾關(guān)注的部門的離散安全威脅“。行政部門有權(quán)對(duì)私營(yíng)部門規(guī)定長(zhǎng)期網(wǎng)絡(luò)要求,。
備忘錄特別涉及工業(yè)控制系統(tǒng)(ICS),,該系統(tǒng)監(jiān)控,、調(diào)節(jié)和自動(dòng)化操作技術(shù)(OT)——一個(gè)涵蓋硬件和軟件的單元,可實(shí)現(xiàn)基礎(chǔ)設(shè)施物理組件(如斷路器,、電機(jī)和閥門)的功能,。從電網(wǎng)和電信網(wǎng)絡(luò)到制造廠、公共交通系統(tǒng)和能源管道,,OT 在關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中非常普遍,。
在某些情況下,受損害的 ICS/OT 可能會(huì)使攻擊者對(duì)系統(tǒng)造成物理?yè)p壞,,甚至造成大范圍中斷,。也許最有名的例子是震網(wǎng)(Stuxnet)事件,發(fā)生于2010年,。Stuxnet將矛頭對(duì)準(zhǔn)了控制伊朗納坦茲核濃縮設(shè)施離心機(jī)的ICS,,最終摧毀了離心機(jī),使伊朗的核計(jì)劃倒退了幾年,。人們普遍認(rèn)為Stuxnet是美以合作,,但兩國(guó)政府都從未承認(rèn)參與。
5月對(duì)美國(guó)輸油管道的勒索軟件攻擊說(shuō)明了一個(gè)棘手的問(wèn)題:傳統(tǒng)信息技術(shù)和ICS/OT網(wǎng)絡(luò)的融合,。在管道事件中,,該公司先發(fā)制人地關(guān)閉了管道的 ICS/OT 網(wǎng)絡(luò),以防止攻擊者將 IT 網(wǎng)絡(luò)傳輸?shù)娇刂乒艿肋\(yùn)營(yíng)的 ICS 網(wǎng)絡(luò),,這可能會(huì)對(duì)管道造成潛在的物理?yè)p壞,。勒索軟件沒(méi)有直接針對(duì)管道的ICS/OT網(wǎng)絡(luò),但I(xiàn)CS網(wǎng)絡(luò)關(guān)閉導(dǎo)致東海岸上下燃料普遍短缺,,持續(xù)了數(shù)天,。
ICS/OT網(wǎng)絡(luò)攻擊也成為五角大樓日益關(guān)注的問(wèn)題,五角大樓的基地在國(guó)內(nèi)外都得到了潛在脆弱網(wǎng)絡(luò)的支持,。雖然備忘錄不是針對(duì)美國(guó)農(nóng)業(yè)部的,,但支持軍事基地所需的基礎(chǔ)設(shè)施(如電力和水)通常來(lái)自公共事業(yè),這些公用事業(yè)已被證明是威脅行為者的容易目標(biāo),。五角大樓的規(guī)劃人員已經(jīng)承認(rèn),,人們擔(dān)心飛機(jī)會(huì)因?yàn)闄C(jī)庫(kù)的門被鎖上或者美軍被被黑客入侵的供水系統(tǒng)毒害而無(wú)法使用。
備忘錄將部分通過(guò)”網(wǎng)絡(luò)績(jī)效目標(biāo)“解決 ICS/OT 安全問(wèn)題,,美國(guó)政府希望關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商能夠自愿采納這些目標(biāo),。美國(guó)國(guó)土安全部的網(wǎng)絡(luò)領(lǐng)導(dǎo),網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局,,以及國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所將制定績(jī)效目標(biāo),。
美國(guó)政府認(rèn)為至關(guān)重要的基礎(chǔ)設(shè)施中,大約80%至90%是由美國(guó)私營(yíng)部門擁有和運(yùn)營(yíng)的,。這使得政府保護(hù)政府安全的努力復(fù)雜化,,因?yàn)樗饺藢?shí)體歷來(lái)不愿允許國(guó)家當(dāng)局監(jiān)控或主動(dòng)干預(yù)其網(wǎng)絡(luò),。為此,這位高級(jí)政府官員表示,,確保關(guān)鍵基礎(chǔ)設(shè)施的安全需要”全國(guó)“的方法,,并指出”聯(lián)邦政府不能單獨(dú)做到這一點(diǎn)“。
另一個(gè)復(fù)雜的因素是,,私營(yíng)部門實(shí)體和政府之間缺乏及時(shí)的網(wǎng)絡(luò)信息共享,。參議員馬克·華納、D-VA和其他許多人上周提出了兩黨立法,,如果獲得通過(guò),,要求關(guān)鍵的基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商在發(fā)現(xiàn)后24小時(shí)內(nèi)向政府報(bào)告任何”構(gòu)成國(guó)家威脅“的違規(guī)行為。
由于美國(guó)行政部門對(duì)私營(yíng)部門施加長(zhǎng)期網(wǎng)絡(luò)安全授權(quán)的權(quán)力有限,,備忘錄旨在鼓勵(lì)自愿行動(dòng),。永久授權(quán)需要美國(guó)國(guó)會(huì)通過(guò)。不過(guò),,這位官員表示,,政府正在”探索我們?yōu)槭跈?quán)(網(wǎng)絡(luò))標(biāo)準(zhǔn)所能做的一切“,并舉例說(shuō)明運(yùn)輸安全管理局上周發(fā)布的新一輪管道網(wǎng)絡(luò)安全規(guī)則,。
該備忘錄只是政府在過(guò)去兩年中一系列備受矚目的網(wǎng)絡(luò)攻擊之后,,為加強(qiáng)國(guó)家網(wǎng)絡(luò)安全而作出的最新努力,包括管道,、SolarWinds和微軟交易所服務(wù)器黑客攻擊,,后者于7月19日正式歸因于A國(guó)。
備忘錄之前,,除其他行政行動(dòng)外,,5月的網(wǎng)絡(luò)安全行政命令,,美國(guó)國(guó)土安全部3月推出的60天勒索軟件”沖刺“(在此期間,,管道攻擊發(fā)生),以及能源部4月推出的一項(xiàng)旨在網(wǎng)絡(luò)安全的電力公用事業(yè)部門倡議,。
備忘錄還遵循了其他政府實(shí)體的警告,,如美國(guó)國(guó)家安全局在4月份呼吁審查OT安全。美國(guó)國(guó)家安全局在管道黑客攻擊開(kāi)始前一周發(fā)布了這一通報(bào),。
這位高級(jí)官員說(shuō),,該備忘錄符合美國(guó)政府改善國(guó)家網(wǎng)絡(luò)安全的三管齊下的做法。這種方法包括實(shí)現(xiàn)網(wǎng)絡(luò)防御的現(xiàn)代化,,制定針對(duì)網(wǎng)絡(luò)的政策和政府資源,,以及建立國(guó)際聯(lián)盟來(lái)對(duì)抗實(shí)施網(wǎng)絡(luò)攻擊的國(guó)家和罪犯。這位高級(jí)官員說(shuō),,該備忘錄旨在直接解決政府戰(zhàn)略的第一個(gè)部分,,即網(wǎng)絡(luò)防御的現(xiàn)代化,。
”我認(rèn)為我們表現(xiàn)出了做我們需要做的工作的意愿,“這位政府官員周二晚間表示,,”我認(rèn)為我們表現(xiàn)出了以新的方式分享信息的意愿,,[以]自愿的方式提出,但我們也明確表示,,鑒于威脅的嚴(yán)重性,,我們需要緊急行動(dòng),我們需要研究所有選項(xiàng)——自愿和強(qiáng)制性的——以實(shí)現(xiàn)我們需要的快速進(jìn)步,。
