美国政府需要制定新的法规和激励措施让私营公司保护重要的网络基础设施,包括电网、供水设施和金融系统,美国众议院网络安全小组委员会的新任女主席如是说道。
纽约州民主党众议员伊薇特·克拉克(Yvette Clarke)也呼吁一项新的国家网络安全战略在周二众议院国土安全委员会的听证会上网络安全小组委员会.她说,美国前总统乔治·布什(George Bush) 2002年提出的一项战略并没有强制要求私营公司采取行动保护网络安全。
克拉克说:“不幸的是,这一战略没有强制进行安全改革。”他说:“尽管上届政府在18个关键的基础设施领域依靠自愿保护体系,但我认为,本届政府应该寻求使用法规和激励措施相结合的方式来确保……关键基础设施得到妥善保护。”
克拉克没有提供应该制定什么样的法规的细节,但她表示,目前的政策在很大程度上是无效的。
她说:“我们发现自己现在处于一个极其危险的境地:在太多的关键网络上存在着太多的漏洞,这些漏洞暴露在太多有技能的攻击者面前,他们可以对我们的系统造成太多的破坏。”在过去的20年里,美国网络安全领域的思想领袖发表了无数的报告,其中包含了数百条关于如何改善美国在网络空间的姿态的建议。现在缺少的是实际执行这些建议的勇气和领导力。”
一个网络安全专家小组周二提出了更多建议,但克拉克发现,微软负责可信计算的副总裁斯科特·查尼(Scott Charney)支持这项规定。要让私营公司采取必要措施保护美国网络安全,有限的、“适当量身定制的立法”可能是必要的。
查尼说,美国市场"不会为保护国家安全可能需要的安全水平买单"。
他说,政府可以在不过度监管的情况下,根据行业最佳做法制定监管规定。
网络安全供应商NetWitness首席执行官、国土安全部国家网络安全部门前主任阿米特·约兰(Amit Yoran)补充说,尽管一些目击者和议员对美国国土安全部的网络安全努力持批评态度,但把这一努力交给美国情报部门也不是解决问题的办法。
约兰说:“如果这一行动由情报机构主导,那将是非常危险的。“情报目标和系统操作员的目标之间存在明显的利益冲突。”
他说,情报机构的重点是监视对手,确定他们的方法并跟踪他们的活动,而系统运营商则希望迅速解决网络安全问题。
约伦发表上述评论的几天前,美国国家网络安全中心主任罗德·贝克斯托姆宣布辞职同时抱怨美国国家安全局(NSA)在网络安全方面发挥了巨大作用。
微软的查尼同意约兰的观点,他说,如果立法者希望公众信任国家的网络安全努力,领导机构不应该是行事隐秘的国家安全局。
智库战略与国际研究中心(Center for Strategic and International Studies)项目主任吉姆•刘易斯(Jim Lewis)呼吁奥巴马政府在白宫设立一个网络安全办公室。他说,只有白宫有权力把所有从事网络安全工作的机构联合起来。这是CSIS去年底发布的一份网络安全报告中最重要的建议之一。
刘易斯说:“我们得出的结论是,只有白宫有权让许多强大的机构遵循共同的议程,并相互协调。”“一个成功的网络安全方法融合了情报、执法、军事外交和国内监管功能。”
乔治亚州共和党众议员保罗·布鲁恩(Paul Broun)不同意这一观点,他说,布什政府在网络安全问题上不够强硬,他不确定奥巴马是否也会这样做。