美国国土安全部副主任在今年的Black Hat大会上遭到了一批安全专家的质疑,他恳求社会各界对政府分享安全事故的信息,并信任政府能够妥善保管这些信息。
国土安全局副局长亚历杭德罗·梅奥卡斯(Alejandro Mayorkas)说,“我们了解,安全社区对政府的态度存在信任赤字。”他鼓励与会者参与政府的信息分享项目,让民营企业在遇到网络威胁时能够对官方公开相关信息。
梅奥卡斯说,存在信任问题的一部分原因是企业对政府保管信息的能力缺乏信心,他引用了人事管理办公室(OPM)遭到入侵的事件。然而,这个例子并没有帮助他说服听众,因为近期爆出了另一条新闻,美国参谋长联席会议的Email系统遭到入侵,系统功能被迫关闭了超过两周时间。
他在演讲中将人事管理办公室遭到入侵的事件形容成一次提升政府网络安全性的机会。在展望未来方面,梅奥卡斯表示,政府正在推行一项提升安全性的30天计划:“我们推出了30天冲刺,以提高各个机构的安全性”。他指出,政府机构间的网络各自独立,其安全级别各不相同,国土安全部也正在大力推动,提升本部门的安全性。
与会者表示,他们有理由担忧政府保护数据的能力,一方面,网络入侵的新闻连绵不绝,另一方面,政府拒绝引入独立的、第三方的安全专家对政府网络进行渗透测试。“光是口头上说相信我们是不够的。”一位与会者表示。
梅奥卡斯回应说,建立信任很难,要从小处做起。假设一个企业遭到了攻击,而且,由于公司的性质,它不愿意上报这次事件,这没问题。但也许这些企业会愿意上报一些没有那么严重的事件。“我们会找到一个大家都感觉舒服的切入点,然后从这里开始”,他说。
一部分安全专家担忧的来源在于,一些官方人员正推动政府发展后门程序,解锁电子通讯中用到的加密算法,特别是在各方对此颇有争议的情况下。梅奥卡斯说,“我在之前已经解释过这个问题”。他会将大会上得到的信息反馈给华盛顿。
他表示,国土安全部有自己的监察长,美国审计院也会介入审查其网络的安全性。公开审计结果可能能够回答一部分公众的疑问。
观众质疑,国土安全部的目标是实现关于网络威胁指标的几乎实时的、自动化的共享,这可能会为所有组织带来风险。商业安全专家担心,共享威胁信息等于承认了本公司网络容易遭到入侵。他们担心,这些信息可能会被竞争对手利用,暗示他们其网络容易遭到破坏,损害客户和业务伙伴的利益。
梅奥卡斯表示,关键在于,政府想要建立的共享并不是完全实时,而是几乎实时的共享。在其中的延时过程中,可以决定是否需要考虑隐私和公民自由问题。他表示,国土安全部计划在十月份发布一份指导性协议。
“匿名性是我们的信息共享协议的基石”,外界人士无法了解到参与其中的公司的信息。
他还被问到,政府是否计划自动收集威胁指标,使各大公司别无选择,只能提交报告。“这种行为超出了我们现在所做的监控范畴”,他表示。
他表示,即使是那些通过数据窃取或数据泄密被公开的数据,比如斯诺登泄露的数据,也应该在适当的时候共享出来。“我们会解密并公开所有我们能够公开的数据”,他表示。
精简入职审查流程是国土安全部的近期工作目标之一,这可以防止人才在审查阶段接受其它高薪工作。政府已经提高了一些职位的工资,以吸引更多合格的候选人。
为了更加接近人才,国土安全部计划在硅谷开设一个办事处。
梅奥卡斯表示,他希望更高的工资能够推动人们在选择工作时时倾向于政府职位。