奥巴马总统只是一个几个星期不在办公室,但他对传统的网络安全已经越来越评论 - 评论褒贬不一。
据一些专家,奥巴马说了很多好话,做了很多好事,投入了大量的精力做网络安全的优先事项,但最终没有做到让政府或私营部门的目标更安全。
最近,最明显的例子就是一系列的泄密事件黑客,美国情报机构归因于俄罗斯,这削弱了民主党总统候选人希拉里·克林顿既信誉和选举本身。
正如反间谍咨询公司Murray Associates的主管Kevin Murray所说:“政府想制定多少政策就可以制定多少政策,但如果它不能解决问题,又有什么用呢?”
或者,正如保罗·罗森茨维格,红科咨询,国土安全部(DHS)的前部相关负责人在总统乔治·W·布什和频繁的贡献者Lawfare博客的创始人所说的那样,“他们的工具,他们只是选择了不使用他们当筹码下降。我不知道为什么。”
凯文·默里,导演,穆雷协会
也就是说显著,因为政府的首要职责宪法之一是“建立共同的防御。”在过去的十年中,网络安全已接近军事或执法安全同等重要的水平。从网络攻击的潜在损害已经从烦扰水平,以沉重的生长。
在物理层面上,政府高层官员警告一个危险的多次“网络珍珠港”从敌对的民族国家,恐怖分子或犯罪团伙的攻击。有在国家关键基础设施的脆弱性的持续和持久,报告。
在经济层面,美国国家安全局(NSA)前局长、美国网络司令部(US Cyber Command)司令基思·亚历山大将军(Gen. Keith Alexander)曾在2012年说过这样的话经济间谍- 主要由中国 - 导致了“财富在人类历史上最大的转移。”
当然,这并不是因为奥巴马对网络安全缺乏关注,他在上任之初就宣布网络安全是一项优先任务,并在几乎每一次国情咨文中都提到了网络安全的重要性。
举措,订单,政策和他的手表在未来立法的名单很长,令人印象深刻。这包括:
- 2009年2月,奥巴马下令对政府的网络安全状况进行审查。今年5月,他宣布了这一消息“网络空间政策审议”,他说,将导致“协调网络安全计划”从白宫运行,旨在“威慑,预防,检测和防范”反网络攻击。
- 2009年6月,是什么一直是临时美国网络司令部自2006年成为永久性的。我们的目标是6000名工作人员,但截至去年年底,据报道,这仍处于约三分之二。但是,美国已经专家们普遍同意,“最强大的网络阿森纳的世界。”
- 作为对奥巴马2013年行政命令的回应,美国国家标准与技术研究所(NIST)发布了一份“网络安全框架”2014年2月 - 一份文件,一套标准的私营和公共部门,并已进行各种更新。最新的更新草案,旨在提高安全性的关键基础设施,在1月份发行的,前不久奥巴马离开办公室。
- 在2015年6月,美国政府发布的M-15-13,一“政策,要求整个联邦网站和Web服务的安全连接“,确定了2016年12月31日的最后期限为所有机构使用加密的HTTPS网站和网络服务。
- 根据美国总务管理局,截至本月,而合规性是远远由100% - 从43%为政府域和子域73% - “政府现在赶不上对HTTPS私营部门。”
- 2015年9月,奥巴马达到了所谓的目标与中国国家主席习近平达成“共识”,停止经济间谍活动。他们在联合声明中表示,“两国政府都不会进行或有意支持网络知识产权盗窃……”虽然这并没有消除问题,但据报道已经减少了问题。
- 国会通过,并于2015年12月奥巴马签署的网络信息共享法案(CISA),旨在提高政府和私营部门之间的威胁信息的共享。反对者仍然称之为“监视法案”,但倡导者说,改善国家网络安全将需要公共和私营部门之间的合作的希望。
不幸的是,这些倡议和其他倡议并不总是取得预期的结果。过去8年的安全失误是众所周知的,在某些情况下是灾难性的。
也许最糟糕的是黑客,归因于中国,人事管理办公室(OPM)的,其中受损的2200万现任和前任联邦雇员的个人资料。
富理达律师事务所(Foley & Lardner)网络安全实务合伙人艾伦·坦特勒夫(Aaron Tantleff)
前情报官员协会(AFIO)的董事会成员道格拉斯·r·普莱斯(Douglas R. Price)称其为“史无前例的失败”。
管理和预算办公室推出了一个所谓的,30天的Sprint网络安全改善一切从认证到威胁检测,但来得太晚了 - 被披露违约后。
其他高调的失误包括:
-数百万份美国士兵的机密文件泄露布拉德利(现称切尔西)曼宁和前国家安全局承办爱德华斯诺登,这不仅削弱了人们对政府没有对美国公民进行监控的说法的信心,也表明政府无法保护自己免受内部威胁。
- 布什总统两次审判,在2011年和2015年,推出“改善网络安全”的立法对美国人民,我们的国家关键基础设施和联邦政府自身的网络和计算机。”
但这两项提案都没有获得通过,部分原因是国会内部意见分歧,但也因为民权和隐私组织的反对。
- 联邦“爱因斯坦”的网络威胁检测和预防系统,自2004年一直存在,并从那时起经过多次修改已经走了,是由国土安全部升级为“爱因斯坦3加速(E3A”在2015年。
但是,专家、前政府官员和国会议员批评说,这个计划还没有完全实施,就已经过时得令人绝望了。实施的最后期限是去年12月。
国土安全部负责网络安全运营和项目的副助理部长格雷格·图希尔在2015年11月说过一句名言:“爱因斯坦3号确实是我们15年前需要达到的水平。”
- 黑客,归因于俄罗斯,民主党全国委员会(DNC)和约翰波德斯塔,克林顿总统竞选主席的电子邮件帐户。维基解密在竞选的最后几周公布的从他们尴尬的信息。
失败的原因有很多。
首先,众多专家都表示这基本上是不可能的政府与演化和威胁的扩张跟不上。作为罗森茨维格把它放在一个采访Nextgov,“政府在每小时和互联网创新移动60英里移动以每小时6000英里。”
也有人说,差距是数量级更大。
福利与拉德纳(Foley & Lardner)网络安全业务合伙人艾伦·坦特勒夫(Aaron Tantleff)补充说,鉴于“设备之间通过物联网实现的大规模连接,各种其他设备缺乏安全性,以及缺乏训练有素的网络安全专家,无庸置疑存在漏洞。”
其次,政府很难管理关键基础设施的网络安全,因为大部分网络安全都掌握在私人手中。政府主要发布建议和建议,而不是对不遵守规定的人处以重大惩罚的命令。
第三,政府很难与私营部门竞争人才。
“联邦政府将继续落后,因为它必须支付员工IT在政府的薪级表,”在网络安全菲德利斯威胁系统经理John Bambenek说。“对于有抱负的员工和经验丰富的IT,私营部门仅仅是一个更有利可图的和有吸引力的职业选择。”
约翰Bambenek,威胁系统管理员,网络安全菲德利斯
不过,专家也说,有事情政府可以,而且应该做得更好。Price说安全既需要“保护措施,并为我们的敌人来攻击而却步。我们做了很多正确的事情对于前者,但事实证明,我们仍然遇到国外的黑客说,我们有很多工作要做的威慑一面。”
Tantleff指出,一些漏洞依然存在,“因为我们决定维持它们,想必 - 奇怪的是 - 出于安全原因”
他指出,由迈克尔·丹尼尔,前白宫网络安全协调员,谁认为,博客文章,“暴露漏洞可能意味着我们放弃了收集重要情报的机会这可能挫败一次恐怖袭击,停止盗窃我们国家的知识产权,甚至发现更多被黑客或其他对手利用来利用我们的网络的危险漏洞。”
丹尼尔补充说,它不会是为了国家利益,建立,未知漏洞的“巨大的库存”。但是,当然,一个“巨大的库存”的定义可能会产生巨大的争论。
对于政府改善将更新其技术,专家指出,在接近4万亿$预算的明显的方式,肯定存在资金改善硬件和软件。但是他们说,缺乏政治意愿。
“当涉及到花钱,总是安全的落后其他优先事项,” Bambenek说。“更新服务器和笔记本电脑是不够性感其他支出项目。没有国会议员参加过一个剪彩的新电脑出货“。
最后,默里说,政府不仅需要关注那些黑客或窃取数据的人,还需要关注那些让这种事情发生的人。他说,除非政府要求问责,否则不会取得更好的结果。在几乎所有的失败案例中,包括OPM的违约,那些负责人被允许辞职,这意味着他们可以保留他们的养老金和所有其他的政府福利。
“有很多手捶胸顿足的,但没有足够的行动,”穆雷说。“你必须让负责人持有该信息的责任。有人应该得到付出了很多的钱,但后来说,“你走了,如果漏了出来在你的手表是要负责任的。”
“你开始这样做,人们将开始把它当回事,”他说。
最终,如果有什么重要的是结果,奥巴马的遗产将受到影响。Tantleff指出,最近的一本书名为“全球网络漏洞报告”回顾这44个国家的网络漏洞,并位列美国11日最安全的。
“这是很难相信,这将有助于奥巴马的网络安全的遗产,”他说。
所有人都在猜测,在特朗普总统的领导下,情况是否会有所改善,但一些初步迹象并不令人鼓舞。
尼古拉斯·韦弗,在国际计算机科学研究所高级研究员的工作人员,在Lawfare一个帖子,宣称总统的继续使用的坚持不安全的Android设备是,“要求一个灾难(和)将导致真正的恐慌。
他写道:“一旦遭到攻击,手机就会出现漏洞,甚至比‘大海豹’更严重——它能记录周围的一切,并在重新连接到网络后传输信息。”
Tantleff说,“还没有定论,”关于特朗普是否能够改善对奥巴马的纪录。但在他看来,这并不是一个非常高吧。
“存在于政府网络安全的水平今天将是不光彩的,如果大量美国企业中存在,”他说。“没有财务或医疗机构会很舒服 - 也没有将美国人民 - 我们目前的努力”
这个故事,“奥巴马的网络安全遗产:良好的愿望,良好的工作,有限的结果”,由最初发表CSO 。