对人事管理办公室的网络攻击这一夏天可能会成为美国政府历史中最具破坏性的安全违规之一。它对美国国家安全的最终影响将近几十年来发挥作用。它没有发生在真空中,而是似乎是对美国政府和公司资产的更广泛,持续和长期的运动的一部分。
专家们表示同样的对手,被广泛认为来自中国,在成功攻击OPM之前违反了一个纯粹的月份。有证据表明该活动正在进行,更潜在的受害者继续被发现,可能包括联合航空公司,美国航空公司和军刀。
这不是第一个对美国的网络攻击活动,也不是最后一个。我们的对手 - 无论他们是国家支持,有组织的犯罪团伙,或一些共同目标的其他黑客集体 - 只有我们的政府和企业资产都易受攻击,才会变得更加持久。企业今天很脆弱,因为他们往往没有意识到新的漏洞和漏洞。为什么如此?
今天,关于“近乎未命中”和对公司和政府机构的成功网络攻击的信息保持秘密。在临时努力之外,我们很少分享在损坏控制上合作的关键信息,或向可能存在风险的其他组织提供预警。致力于网络安全防御的人并没有从同行中的网络安全事件信息的可见性,尽管他们通常会看到相同的攻击方法或对手,我们用OPM和国歌所看到。公司很少在保卫网络中致力于努力。当他们知道信息共享和协作有助于解决问题并管理许多其他地区的风险时,这很难解决,从解决金融市场的传染病。虽然合作对史式防御的合作显而易见,但改变了这个范式对网络安全界的十年长期挑战。
这是一个长期的公司犹豫不决与网络攻击信息犹豫不决?虽然网络事故分享可能是我们集体的最佳利益,但在交换此数据时,唯一的贡献者可能面临合法,声誉或市场风险。因此,它们是犹豫不决的是向任何人释放这样的数据,直到他们首先了解他们辛苦曝光的全规模。结果,即使在共享信息时,也经常为我们的防御中发挥有效作用而做得太晚。
为了改善我们的网络安全抗辩,删除或至少物质降低,对共享网络事件数据的公司的风险至关重要。虽然技术提供商正在努力通过分享技术的进步来做到这一点,例如使公司匿名地互相分享事件数据,这解决了市场和声誉风险,我们需要一个领域我们需要美国政府的支持:去除选择换取网络事件数据的公司的法律责任,以减轻网络攻击并为风险的其他人提供预警。
幸运的是,如果我们可以获得细节,似乎愿意行动的政府。奥巴马总统于二月签署了一项行政命令,促进了私营部门分享网络威胁信息。国会还指出了4月份房子通过两项账单的支持,为共享网络威胁指标和彼此的防御措施提供责任保护,并应与政府一起选择。该措施称为网络安全信息共享法(CISA)正在等待参议院的批准,预计将参加此秋季投票的地板。
尽管双党梁和成分支持,CISA面临着普遍的一条挑战性。值得注意的是,它提出了隐私倡导者的担忧,他担心该法案将进一步降低辛勤人的隐私,通过责任。有些人甚至担心该法案的真正目标是创造另一个政府监测机制。其他人质疑是否与政府分享威胁信息将有效,因为它自己的网络安全斗争。
网络安全社区和政府之间的不信任并不令人惊讶。也就是说,参议院采取了重大措施来解决这些问题。最新版本的账单更明确地了解可以共享哪些类型的数据,与谁以及使用什么。例如,该法案现在更明确地定义了网络事件,并限制了政府使用收到的数据到网络事件响应,从而在无关的刑事调查中消除了它的能力。该法案还要求将智能机构的访问限制为共享数据。
然而,在本辩论中丢失的是,该法案不仅为与政府分享信息的公司提供保护,而且还为互相交流网络事件信息的公司 - 是否参与了政府。事实上,我会争辩CISA最显着的好处是它能够帮助私营部门开始合作在网络攻击答复上的能力。
虽然账单仍然存在缺陷,但我们可以期待他们对他们的辩论来升温,我会问私营部门的人仍将专注于更大的画面。如果我们不合作,我们将不会在网络空间中的对手领先。如果我们继续仅作为辛勤队,我们无法有效地解决网络安全。让我们鼓励参议院继续努力解决隐私问题,并找到一种愿意在与我们的网络对手斗争中共同努力共同努力的那些公司的不必要的法律责任。
Paul Kurtz是前白宫网络安全顾问和当前的受托技术首席执行官。
