白宫网络安全战略强调软件安全

法新社报道称，上周周四发布的一项雄心勃勃且范围广泛的白宫网络安全计划呼吁加强对关键部门的保护，并让软件公司在其产品不符合基本标准时承担法律责任。该战略文件承诺使用“国家权力的所有工具”来预防网络攻击。

民主党政府还表示，将努力对私营部门的数据收集“施加强有力和明确的限制”，包括地理定位和健康信息。

“在每个美国人都确信网络空间对他们来说是安全的之前，我们还有很长的路要走，”代理国家网络主管 Kemba Walden 周四在一个在线论坛上说。“我们预计学区将主要靠自己与跨国犯罪组织正面交锋。这不仅不公平。这是无效的。”

在对关键基础设施进行一系列备受瞩目的勒索软件攻击之后，该策略主要将过去两年中已经在进行的工作编纂成文。2021 年对一条主要燃料管道的攻击导致泵出现恐慌，导致东海岸燃料短缺，其他破坏性攻击使网络安全成为国家优先事项。俄罗斯入侵乌克兰加剧了这些担忧。

这份长达 35 页的文件为更好地应对政府机构、私营企业、学校、医院和其他经常遭到破坏的重要基础设施所面临的不断上升的威胁奠定了基础。在过去的几周里，联邦调查局、美国法警局和 Dish Network 都是入侵的受害者。

“防守很难获胜。每隔几周就会有人遭到严重的黑客攻击，”网络安全公司 TAG Cyber 的首席执行官爱德华·阿莫罗索 (Edward Amoroso) 说。

他称白宫的战略在很大程度上是有抱负的。它最大胆的举措——包括更严格的违规报告和软件责任规则——很容易遭到商界和国会共和党人的抵制。

联邦政府网络空间日光浴室委员会前高级顾问布兰登·瓦莱里亚诺 (Brandon Valeriano) 对此表示同意。

“这里有很多值得喜欢的地方。它只是缺乏很多细节，”海军陆战队大学杰出高级研究员瓦莱里亚诺说。“在美国非常反对监管的时候，他们制定了一份非常注重监管的文件。”

尽管民意调查显示大多数美国人赞成联邦数据隐私立法，但预计该战略的数据收集部分也将在国会遇到困难。

在一份新报告中，科技数据公司 Forrester Research 表示，在 2019 年至 2022 年期间，国家支持的网络攻击增加了近 100%，并且它们的性质发生了变化，现在更大比例的攻击是为了数据破坏和金融盗窃。威胁主要来自国外：俄罗斯的网络骗子和来自俄罗斯、中国、朝鲜和伊朗的国家支持的黑客。

乔拜登总统的政府已经对某些关键行业部门实施了网络安全法规，例如电力公用事业、天然气管道和核设施。该战略要求将它们扩展到其他重要部门。

在文件随附的一份声明中，拜登表示，他的政府正在应对“网络安全的过多责任落在个人用户和小型组织身上的系统性挑战”。这将意味着将法律责任转移到软件制造商、控股公司而不是最终用户身上。

作为一个国家，“我们倾向于下放网络安全的责任。我们要求个人、小企业和地方政府承担起保护我们所有人的重大责任，”沃尔登说。

白宫希望让软件公司承担更大的责任。

“太多的供应商忽视了安全开发的最佳实践，发布了带有不安全默认配置或已知漏洞的产品，并集成了未经审查或来源不明的第三方软件，”该文件称。它补充说，这必须改变，并指出白宫将与国会和私营部门合作制定立法以确立责任。

网络安全和基础设施安全局局长简·伊斯特利 (Jen Easterly) 周一在卡内基梅隆大学 (Carnegie Mellon University) 对汽车行业发表的演讲中打了一个比喻，当时由拉尔夫·纳德 (Ralph Nader) 领导的消费者权益倡导者强制实施了包括安全带和安全气囊在内的安全改革：“安全永远不应完全落在客户身上。技术制造商必须为其客户的安全结果负责。”

但网络安全主管阿莫罗索称这种比较是错误的，因为软件是一种不同的动物，天生就很复杂，黑客不断想方设法破解它。他说，由于行业抵制，责任倡议很容易在法庭上受阻。“如果你是一名网络安全律师，这就是来自天堂的甘露。”

当被问及让软件公司在法庭上对网络攻击造成的损害承担责任是否公平时，行业协会 BSA - 软件联盟在一份声明中表示：“网络安全在不断发展，为公司提供激励措施以在安全软件设计和开发中使用最佳实践将有利于整个生态系统。”

该小组的成员包括微软、Adobe、SAP、甲骨文和 Zoom，并补充说：“我们期待与政府和国会就任何拟议的立法进行合作，以促进最佳实践。” 阿莫罗索表示，他喜欢该战略的积极方面，例如确保清洁能源技术和支持网络安全劳动力，目前全国有 700,000 名工人短缺。

该文件还呼吁采取更积极的措施，利用军事、执法和外交工具以及私营部门的帮助，先发制人地阻止网络攻击。它说，这种进攻行动必须以“更快的速度、规模和频率”进行。

通过“向前防御”破坏敌对网络活动已经在发生。

FBI 和美国网络司令部现在经常在网络空间与网络犯罪分子和国家支持的黑客交战，与外国合作伙伴合作，在 2018 年和 2020 年阻止勒索软件行动和选举干预。政府已经将勒索软件视为国家安全威胁，该文件表示将继续使用“黑客入侵”等方式打击它。

原文始发于微信公众号（河南等级保护测评）：白宫网络安全战略强调软件安全