美國政府問責局(GAO)敦促政府對網絡安全問題做出更迅速的反應,特別是在SolarWinds供應鏈攻擊造成9個聯邦部門以及約100家公司失陷之后。
根據《2021年國防授權法案》的授權,該聯邦監管機構在其新發布的網絡安全審計報告中敦促拜登政府盡快在白宮內任命一名國家網絡主管,以協調政府對重大安全問題的響應。兩黨議員也一直在向政府施壓要求提名候選人。
白宮新聞秘書珍·普薩基(Jen Psaki)3月16日表示,目前白宮正在對國家網絡主管一職進行為期60天的審查。
美國政府問責局的報告還敦促政府機構改善供應鏈安全性,制定更全面的事件應對計劃,并呼吁國會通過一項國家隱私法。
印第安納大學網絡安全項目主席斯科特?沙克爾福德(Scott Shackelford)指出,在報告的所有建議中,任命一個白宮級別的網絡協調員尤為重要。
“這份新的報告與以往相比更明顯地表明,拜登政府需要盡快任命一名國家網絡主管,”沙克爾福德說:“國家安全委員會的網絡安全團隊和其他團隊目前做得很好,但我們仍然迫切需要更多的協調、資源和參與,以更好地處理美國面臨的多方面網絡威脅。”
國土安全部失陷
美聯社3月30日報道稱,SolarWinds攻擊者竊取了多個美國國土安全部和能源部官員的郵件賬戶訪問權限,其中包括查德·沃爾夫(Chad Wolf)的至少一個賬戶,其在特朗普政府任期末尾擔任國土安全部代理部長。
據美聯社報道,攻擊者顯然針對的是負責調查海外威脅的國土安全部工作人員,此外能源部官員的日程表也成為他們的目標。
SolarWinds 余波未了
美國政府問責局的報告指出,SolarWinds供應鏈攻擊事件表明,政府機構保護、響應以及防御安全入侵的能力“仍然存在薄弱環節”。
負責調查SolarWinds攻擊事件的美國機構認為,一個與俄羅斯有關的組織很可能進行了網絡間諜行動,獲得了電子郵件通信的訪問權,并在美國聯邦網絡內建立了長期的持久化后門。美國國土安全部發言人告訴美聯社,該部門“網絡中現在已經檢測不到失陷指標”。
但前美國國家安全局精英黑客團隊成員、現經營網絡安全咨詢公司Rendition Infosec的杰克-威廉姆斯(Jake Williams)在Twitter上回應美聯社的報道稱:可能需要數年時間才能確定SolarWinds攻擊事件造成的全部影響。
拜登政府也正在調查針對本地部署微軟Exchange電子郵件服務器中未修補漏洞的攻擊,這些漏洞已經影響到數千個組織,包括許多小型公司和地方政府機構。
對美國政府問責局的答復
美國政府問責局曾要求國土安全部、國家安全委員會和行政管理與預算局在其網絡安全審核報告發布之前提供意見。
審計報告指出,國土安全部在報告中增加了技術細節,同時行政管理和預算局回應稱:該機構正在努力改善兩個具體領域——確保聯邦系統和信息的安全以及保護敏感數據的隱私。
國家安全委員會的工作人員在給美國政府問責局的答復中指出:“在政府為網絡政策問題制定方針的同時,該草案對國家面臨的網絡安全挑戰以及可做出具體改進的機會進行了全面審查。”
但美國政府問責局指出,許多美國聯邦部門尚未解決涉及網絡安全的重大問題。例如,該報告發現,在其審計的23個機構中,沒有一個機構“充分實施了管理信息和通信技術供應鏈的關鍵基礎實踐”。
審計報告稱,美國政府問責局已經提出了145條供應鏈建議,供政府機構遵循。
自2010年以來,該監管機構向聯邦政府各部門提出了約3300條網絡安全建議。報告指出,截至2020年12月,其中750項建議尚未得到落實。
四個領域有待改進
美國政府問責局的報告著眼于四個亟待改進的領域。
建立全面的網絡安全戰略并實施有效監督。
確保美國聯邦系統和信息的安全;
保護網絡關鍵基礎設施;
保護隱私和敏感數據。
美國政府問責局指出,雖然特朗普政府已于2018年9月制定了國家網絡安全戰略,并在2019年6月制定了實施計劃,但這些措施并沒有提供目標和資源來創建一個行之有效、覆蓋整個政府范圍的戰略來解決安全問題。
圖:美國政府問責局正在敦促聯邦政府解決四個網絡安全領域的問題。(來源:美國政府問責局)
據審計報告稱,“新政府應當更新現有的戰略或計劃,或者制定新的綜合戰略來滿足上述要點”。
美國政府問責局發現,雖然聯邦政府在保護聯邦系統和信息的安全方面取得了一些進展,但SolarWinds供應鏈攻擊事件表明仍需做出更多改進。例如,通過此次審計可以確定,16個聯邦機構缺乏事件應對計劃。
美國政府問責局建議,監督并負責關鍵基礎設施的聯邦機構應自愿采用美國國家科學技術研究所的網絡安全框架,以幫助建立更全面的網絡安全方案。審計報告還指出,美國政府問責局自2010年以來提出的80項與關鍵基礎設施安全有關的建議中,仍有大約50項尚未落實。
美國政府問責局的報告還表示,有多個聯邦機構在保護公民數據方面存在不足。另外,它還敦促國會盡快通過美國國家數據保護和隱私法。