「战略与国际研究中心：网络安全公私合作」 2022年3月22日，战略与国际研究中心(Center for Strategic and International Studies，CSIS)发布其网络安全专家詹姆斯·安德鲁·刘易斯(James Andrew Lewis)，技术项目的副研究员Eugenia Lostri以及研究助理Georgia Wood共同撰写的文章《共同的责任：网络安全的公私合作(A Shared Responsibility: Public-Private Cooperation for Cybersecurity)》。文章指出，确保网络安全是拜登政府的首要任务。为此，拜登政府采取了一套“三管齐下”的举措来应对网络安全威胁，即网络防御的现代化，加强国际活动以及确保美国在网络空间竞争中处于更有利的地位。具体体现设立国家网络总监办公室，打造了一支专门应对网络安全的强大队伍，以改善美国联邦政府机构和关键基础设施的网络安全。此外，国会在2021年提出了157项有关网络安全的立法，涵盖网络安全能力建设、更新现有的联邦政策等多个方面。但是文章同时也指出，美国在应对网络安全方面仍存在许多不足，例如一些应对网络安全威胁的基本措施标准不达标，修补系统漏洞的速度过慢以及市场没有对推动网络安全起积极作用。基于此，文章就如何改善美国网络安全的需求、能力和期望提出了以下9点建议。 1. 提高网络安全水平 国家信息保障伙伴关系(National Information Assurance Partnership, NIAP)计划为建立最低标准提供了一个先例。根据NIAP，国防部正在使用的网络安全软件在部署前进行了测试。此举类似于食品和药品管理局需要在相关产品上市前对其进行批准，尽管会产生高额成本，但确实富有成效。此外，创建一套广泛认同的原则或标准可以帮助设定具体的目标。一个关于各部门安全实践的基础协议也可以为立法和行政部门对私营部门的期望提供参考。例如，美国国家标准与技术研究院的网络安全框架，是私营和公共部门组织联合工作的产物，为网络安全提供了一个坚实的指导。 2. 支持中小型企业 据统计，2021年发生的网络攻击事件中43%针对的是中小企业。然而，由于缺乏资源、技术能力以及专业人员，导致中小企业往往难以实施许多网络强健(cyber hygiene)措施。因此建立正确的激励机制可以帮助中小企业优先考虑网络安全问题。例如，国土安全部等机构为中小企业提供具体和有针对性的资源。网络安全和基础设施安全局也为企业提供了一系列的资源，包括指导公司如何实施基本安全措施以防范常见的网络攻击的Cyber Essentials计划，以及帮助识别和解决风险的小企业专用工具包。此外，经验丰富和受政府认可的供应商也可以帮助中小企业加强应对网络安全风险。 3. 保护优先级 对基本的网络安全措施进行优先排序并制定强制性要求，将提高网络复原力。但事实上，阻止所有的威胁是不可能的。作者指出如果识别高优先级和低优先级的资产应指导内部网络安全规划和流程。目前的协议让许多公司只是简单地 "削除 "威胁和慢慢地修补漏洞，令系统仍然存在暴露的风险。作者表示，确保优先级十分重要，公司需要决定该系统的哪些方面是最重要的，并接受其系统其他部分在某种程度上的脆弱性。 4. 创造更多的安全需求 2022财政年度的联邦网络安全市场大约在144亿美元到200亿美元之间。2021年11月成为法律的《基础设施投资和就业法案》(The Infrastructure Investment and Job Act)中包括近20亿美元用于网络安全的资金。此外，《重建美好法案》(Build Back Better Act)如果通过，还将为网络安全项目提供额外的资金。这些都为联邦市场创造了一个建立激励机制的机会。美国总统副助理兼网络和新兴技术国家安全副顾问安妮·纽伯格(Anne Neuberger)曾解释政府如何利用其采购的力量来制定标准，从而提高每个人在使用软件和技术方面的安全性。此外，美国总务管理局、国防部和美国国家航空航天局已经对《联邦采购法规》(Federal Acquisition Regulation, FAR)提出了两项修正案，分别为增加政府和某些供应商之间关于网络威胁和事件信息的共享，和在联邦机构之间对非机密信息系统的共同网络安全合同要求进行标准化。FAR委员会表示，这些修正案旨在解决两个关键问题：信息共享和可以提高所有人的网络安全的共同要求。 5. 避免对抗性关系 作者表示，为适当的网络安全寻找资源给许多公司带来了巨额成本，即使是跨国公司也不例外。此外，政府有时的政策会加剧公私部门之间的不信任。为此，作者认为，联邦政府应该为网络攻击受害者提供修复和应对所需的人员、资金和工具。公私营部门之间需要强化并肩合作和信息共享。 6. 扩大网络安全人才队伍 全球普遍存在网络安全专业人员的短缺问题，为此，政府应对此采取行动。国际信息系统安全认证联盟的报告指出，还需要37.7万名网络安全专业人员来解决劳动力缺口。缺口带来的严重结果将导致错误的系统配置、缓慢的修补周期、仓促的部署、没有足够的时间进行适当的风险评估、没有足够的流程和程序监督等问题。因此，需要扩大网络安全人才，广泛支持、促进和扩大像国家科学基金会这样的奖学金项目，以加强网络安全人才培养，并为各层级政府提供急需的网络安全人才。此外，还需加强网络安全人才的多样性，劳动力多样性的缺失也会对网络安全能力的建设造成影响。 7. 探讨保险公司在激励网络复原力方面可以发挥的作用 作者表示，保险市场可以改善网络安全，因为其提供了一个非监管机制，创造了激励机制。例如，美国“网络日光室委员会”就建议尝试塑造保险市场，来激励网络安全能力的建设。以2017年的NotPetya恶意软件攻击事件为例，尽管保险公司最初并不承认因网络攻击而造成的计算机数据和软件的破坏属于其承保范围，但是新泽西州高等法院在2021年12月裁定受攻击的制药公司Merck可以获得保险赔偿。作者认为，此判决或将激励公司进行主动投保。 8. 扩大企业间合作 作者表示，信息共享是应对和减轻网络安全风险的传统补救措施，可以为预防网络安全事件提供早期预警。公司需要通过分享现有的方法和资源来提高网络安全水平，信息共享并不局限于政府和个别公司之间。跨行业、网络安全供应商之间以及与国土安全部的合作都将有助于应对网络安全威胁，帮助预防和减轻网络攻击。 9. 扩大与盟国的执法合作 网络安全正在成为外交政策议程中的一个关键部分。美国及其盟国和合作伙伴应追求打造网络空间的国际规范，以加强问责制和负责任的行动，并将支持和促进负责任的行为规范和国际法作为优先事项，同时在外交领域提高知名度和强调应对网络安全威胁的紧迫性。跨国行动还有助于规范网络犯罪分子。美国此前于2021年10月召开了反勒索软件倡议会议，包括澳大利亚、巴西、爱沙尼亚、欧盟、肯尼亚等在内的30个国家和地区的代表出席会议，讨论勒索软件带来的安全威胁，以及各国和地区如何加强执法部门、国家安全当局、网络安全机构和金融情报部门之间的合作。 Eugenia Lostri：CSIS战略技术项目副研究员。 詹姆斯·安德鲁·刘易斯(James Andrew Lewis)：CSIS高级副总裁和战略技术项目主任, 专注于研究网络安全与科技、国防与安全、经济、地缘政治以及国际安全。 Georgia Wood：CSIS战略技术项目的项目协调人和研究助理。 原文链接：https://www.csis.org/analysis/shared-responsibility-public-private-cooperation-cybersecurity