自去年12月以來,美國遭受多起網絡攻擊,多家政府機構和數十家公司受到嚴重影響。美國總統拜登表示,黑客攻擊構成了“對美國國家安全的嚴重威脅”。在此背景下,當地時間5月12日,拜登簽署行政令,要求聯邦政府加強美國網絡安全能力,解決美國當前易受黑客攻擊的問題。
5月7日,美國大燃油運輸管道商科洛尼爾公司遭網絡攻擊,5500英里長的輸油管道被迫暫停輸送業務。美國聯邦調查局(fbi)5月10日發布聲明,稱“黑暗面”(darkside)黑客組織對這一事件負責。11日,“黑暗面”在其官網發布一則消息:“我們的目的是要錢,而不是為社會制造麻煩”,并強調該組織“不涉及政治”。
網絡安全專家介紹,“黑暗面”成立于2020年8月,通過開發軟件工具,幫助其他“附屬機構”實施攻擊。被攻擊者數據被盜、計算機被鎖定時,必須付費才能重新訪問網絡并阻止敏感信息發布。“黑暗面”通過這樣的行動以獲利。在本次科洛尼爾公司事件中,尚不清楚攻擊是來自“黑暗面”還是其附屬機構。
作為美國東海岸供油“大動脈”,科洛尼爾公司輸油管道負責東海岸45%的燃料供應,斷網使美國南部和東部14個州受到嚴重影響。隨后,相關政府部門宣布美國17個州和華盛頓特區進入緊急狀態。這是美國shov次因網絡攻擊導致多州進入國家緊急狀態。該事件也引發市場對燃料供應短缺的擔憂,美國汽油期貨價格5月10日一度躍升至2.217美元/加侖,創2018年5月以來新高,擾亂了能源市場,引起市場恐慌。
這是近半年時間里類似事件中的一例。2020年12月17日,美國國土安全部網絡安全與基礎設施安全局稱,美國政府機構和企業遭受網絡攻擊已有一周,風險已達“危重”級別;今年1月,美國多家政府部門和企業因solarwinds軟件漏洞遭黑客攻擊,美國財政部、國土安全局、國家衛生院甚至國務院都受到影響;2月,佛羅里達州一小鎮的水處理系統遭到攻擊,供水中的化學物質含量被改變,當地飲用水變得十分危險;4月,北美地區1500家公用事業公司中有四分之一都遭到solarwinds軟件攻擊,公司運行受到影響。
輸油管道事件后,拜登于5月12日簽署了公眾期待已久的行政令,提出多項行動加強美國網絡安全防御能力。
一是消除政府與私營部門間的信息共享障礙。行政令提到“it服務提供商對網絡威脅事件和信息有獨特的訪問權限和洞察力”,要求與政府有業務往來的it服務提供商必須公開其有關安全數據,報告是否受到了黑客入侵。拜登政府表示,消除信息共享障礙可以增強事件威懾、預防和響應能力,能更有效地保護各機構系統和聯邦政府的信息。
二是推動聯邦政府網絡安全現代化。拜登政府表示,隨著人工智能、數字經濟不斷發展,美國需要跟上科技發展的腳步,應對不斷演變的新風險。行政令提到,各機構負責人應更新本機構現有計劃,優先考慮使用云技術,使網絡安全手段現代化。行政令要求國內推進使用“零信任”架構,即通過多因素認證提升網絡安全。
三是確保軟件供應鏈安全。聯邦政府使用軟件的安全性至關重要。商業軟件的開發通常缺乏透明度、對軟件抵抗攻擊關注不夠、對惡意攻擊行為缺乏足夠控制。行政令要求聯邦政府必須采取行動,迅速提高軟件供應鏈的安全性和完整性,并優先解決關鍵軟件問題。聯邦政府使用的所有軟件需在9個月內達到新的安全標準。
四是成立網絡安全審查委員會。行政令提出效仿美國國家運輸安全委員會設立網絡安全審查委員會,由政府和私營部門的代表共同主持,以分析網絡攻擊事件并提出建議。行政令要求制定一套標準行動手冊,規范聯邦政府對網絡安全事件的響應。
美國政府對國家網絡安全日趨重視。2012年美國網絡安全方面投入34億美元,2013年飆升至103億美元。2013年到2020年間,該數額一直居高不下。
特朗普政府堅持“美國優先”,推行與前任相比較為激進的國家網絡安全戰略。就任初期,特朗普將網絡司令部升級為一級聯合作戰司令部。2018年5月,美軍網絡司令部完成升級,升級后的網絡司令部與太平洋司令部和歐洲司令部同級。任職總統期間,特朗普多次對國家網絡安全團隊進行人事調整。對網絡作戰體系的不斷完善,展現出特朗普政府對網絡部隊軍事作戰能力的重視。
在特朗普時期網絡安全戰略基礎上,拜登政府不斷完善網絡安全機構設置,并新設負責網絡和新興技術的國家安全副顧問一職。根據美國2021財年《國防授權法案》,美國將新設國家網絡總監一職及國家網絡總監辦公室。4月12日,拜登宣布任命前國家安全局副局長克里斯·英格利斯為領先任總統行政辦公室國家網絡總監。5月12日,拜登在行政令中提出效仿美國國家運輸安全委員會設立網絡安全審查委員會,以分析網絡攻擊事件并提出建議。
拜登重視網絡安全人才,其政府內多人具有網絡安全領域背景。國土安全部長亞歷杭德羅·馬約卡斯任國土安全部副部長時,曾負責網絡威脅信息共享等工作;國家情報總監埃夫麗爾·海恩斯曾負責白宮的國家安全事務,后又出任美中情局副局長。
美國正用優越條件大量招募網絡安全人才。據路透社報道,在上任之初拜登就開始雇用一批具有深厚網絡專業知識的國家安全領域老手,幫助美國應對黑客攻擊。5月5日,美國國土安全部宣布,計劃在兩個月內招聘200名網絡安全專業人員,以遏制影響美國企業的勒索軟件攻擊以及外國間諜活動。馬約卡斯稱這次招聘為國土安全部18年歷史上“重要的招聘行動”。
1月25日,美國國務院發言人曾表示,拜登總統致力于確保中國公司不能濫用和盜用美國數據,并將確保美國技術不會終支持中國的“惡意活動”。4月9日,拜登政府公布了2022財年聯邦政府預算案提案大綱,提出向國防部撥款7150億美元,并特別提到這一撥款將優先應對來自所謂“中國的威脅”。
為此,拜登政府主張與盟友合作,共同制定科技等領域的規則與標準,以應對來自中國等國的“威脅”。有專家表示,拜登會延續科技戰并拉攏盟友,通過科技限制、技術轉讓、網絡安全等傳統手段對中國實施打壓。
哈佛大學肯尼迪學院某學者指出,拜登政府將通過建立可信賴的專有技術聯盟來增強“民主”,對抗中俄等國勢力。拜登政府可能會推出“技術民主聯盟”,如正在探討的t-12聯盟,并致力于將華為排除在美國所結聯盟的5g網絡之外,以終建立一批受信任的供應商。
從維基解密事件到斯諾登事件,近年來美方在網絡安全問題上的虛偽和雙重標準早已大白于天下。美國將網絡安全問題政治化,既損害中美在網絡安全領域的信任與合作,也不利于全球網絡安全治理。
正如美中關系全國委員會會長斯蒂芬·歐倫斯所說:“美中作為世界上兩個大的數字強國,兩國之間的信任與合作至關重要。” 中方已提出全球數據安全倡議,希望與國際社會一道共同努力,攜手營造一個開放安全合作的網絡空間。
皖公網安備34010202600216
