在當(dāng)?shù)貢r(shí)間6月10日舉行的參議院確認(rèn)聽(tīng)證會(huì)上，對(duì)英格利斯（Chris Inglis）和伊斯特利（Jen Easterly）將如何處理這些緊迫問(wèn)題有了最深入的了解。提名者稱(chēng)勒索軟件是威脅國(guó)家安全的“禍患”，誓言要與關(guān)鍵的基礎(chǔ)設(shè)施公司合作，提高它們的防御能力，并呼吁，有必要制定額外的聯(lián)邦法規(guī)，以激勵(lì)公司減少它們?cè)诤诳凸舴矫娴娜觞c(diǎn)。

　　兩個(gè)月前，美國(guó)總統(tǒng)喬？拜登（Joe Biden）宣布了他的兩項(xiàng)最重要的參議院網(wǎng)絡(luò)安全職位提名：國(guó)土安全部（Department of Homeland Security）網(wǎng)絡(luò)安全部門(mén)負(fù)責(zé)人珍？伊斯特利和國(guó)家網(wǎng)絡(luò)總監(jiān)克里斯？英格利斯。

　　英格利斯和伊斯特利是兩名經(jīng)驗(yàn)豐富的國(guó)家安全局（National Security Agency）資深官員，如果得到確認(rèn)，他們面臨著艱巨的任務(wù)。

　　打擊勒索軟件攻擊

　　在此期間，勒索軟件攻擊迫使美國(guó)的一條主要輸油管道和一家大型肉類(lèi)供應(yīng)商暫時(shí)關(guān)閉。拜登已經(jīng)暗示，他將在下周與俄羅斯總統(tǒng)普京（Vladimir Putin）會(huì)晤時(shí)提出窩藏黑客犯罪的問(wèn)題。

　　英格利斯說(shuō)，美國(guó)政府必須“奪回主動(dòng)權(quán)，這一主動(dòng)權(quán)已經(jīng)被犯罪分子和流氓國(guó)家占據(jù)太久了，而這些國(guó)家主導(dǎo)了實(shí)施犯罪的時(shí)間和方式?！彼粲趺绹?guó)及其盟友“摧毀（勒索軟件罪犯的）庇護(hù)所，并讓那些威脅我們的人承擔(dān)后果?！?/p>

　　伊斯特利也以類(lèi)似的緊迫感說(shuō)：“我們現(xiàn)在處于這樣一個(gè)境地：民族國(guó)家和非民族國(guó)家的威脅行為者在很大程度上利用網(wǎng)絡(luò)空間威脅我們的隱私、我們的安全和我們的基礎(chǔ)設(shè)施，而不受懲罰?！?/p>

　　英格利斯將成為美國(guó)國(guó)歷史上首位國(guó)家網(wǎng)絡(luò)總監(jiān)，這是國(guó)會(huì)授權(quán)的一個(gè)新崗位，旨在讓政府更好地應(yīng)對(duì)包括勒索軟件攻擊在內(nèi)的重大黑客攻擊。伊斯特利將接管?chē)?guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，簡(jiǎn)稱(chēng)CISA），該機(jī)構(gòu)不僅負(fù)責(zé)保護(hù)聯(lián)邦民用網(wǎng)絡(luò)免受勒索軟件的侵害，還負(fù)責(zé)保護(hù)聯(lián)邦民用網(wǎng)絡(luò)免受間諜活動(dòng)的侵害，比如據(jù)稱(chēng)俄羅斯利用SolarWinds軟件進(jìn)行的間諜活動(dòng)。

　　這兩人將與愿意增加網(wǎng)絡(luò)安全支出的國(guó)會(huì)合作。

　　眾議院將為CISA的2022年預(yù)算提供4億美元的額外資金。白宮在2022財(cái)政年度為CISA申請(qǐng)的可自由支配資金總額為21億美元。

　　從醫(yī)療保健到制造業(yè)，接連不斷的勒索軟件事件讓許多公司舉步維艱，要想阻止這些事件的發(fā)生，需要的不僅僅是金錢(qián)。據(jù)追蹤虛擬支付的Chainalysis公司稱(chēng)，2020年，受害者支付的加密貨幣勒索軟件金額增長(zhǎng)了311%，達(dá)到近3.5億美元。

　　colonial管道公司和肉類(lèi)加工公司JBS分別向勒索黑客支付了440萬(wàn)美元和1100萬(wàn)美元，以挽回他們受到的勒索軟件攻擊。這引發(fā)了美國(guó)國(guó)會(huì)的批評(píng)，認(rèn)為企業(yè)助長(zhǎng)了沒(méi)有減弱跡象的犯罪經(jīng)濟(jì)。

　　當(dāng)被要求就這個(gè)問(wèn)題發(fā)表意見(jiàn)時(shí)，英格利斯告訴議員們，重要的不是要追究那些支付贖金的公司的責(zé)任，而是要追究那些一開(kāi)始就不得不支付贖金的公司的責(zé)任，要追究他們沒(méi)有做好網(wǎng)絡(luò)安全的充足準(zhǔn)備。

　　他將勒索軟件比作一場(chǎng)可以控制而不能撲滅的火災(zāi)。

　　英格利斯說(shuō)：“我們需要做的是讓這些系統(tǒng)抗得住攻擊?！薄八麄冇肋h(yuǎn)不會(huì)安全。”

　　英格利斯補(bǔ)充說(shuō)，通過(guò)實(shí)施基本的安全實(shí)踐，如多因素認(rèn)證、軟件補(bǔ)丁和網(wǎng)絡(luò)分隔，安全人員可以化解絕大多數(shù)的威脅。伊斯特利表示，CISA的職責(zé)是通過(guò)提供技術(shù)指導(dǎo)和威脅信息，“防止人們陷入”不得不支付贖金的境地。

　　colonial管道公司遭黑客攻擊后，美國(guó)運(yùn)輸安全管理局（Transportation Security Administration）首次要求管道運(yùn)營(yíng)商滿(mǎn)足強(qiáng)制性的網(wǎng)絡(luò)安全要求。管道運(yùn)營(yíng)商被要求在檢測(cè)到黑客攻擊事件后12小時(shí)內(nèi)向CISA報(bào)告，如果不遵守安全準(zhǔn)則，將面臨7000美元（約合人民幣6700元）的罰款。

　　管道法規(guī)是對(duì)能源行業(yè)的監(jiān)管，一些立法者和政府官員想知道是否有必要出臺(tái)更多的監(jiān)管規(guī)定。

　　伊斯特利表示，在促使關(guān)鍵基礎(chǔ)設(shè)施公司提供充分的網(wǎng)絡(luò)安全保護(hù)方面，顯然“自愿標(biāo)準(zhǔn)可能無(wú)法完成工作”。

　　她補(bǔ)充說(shuō)：“可能會(huì)有某種作用，使其中一些標(biāo)準(zhǔn)成為強(qiáng)制性的，包括通知?！薄拔艺J(rèn)為重要的是，如果發(fā)生重大的網(wǎng)絡(luò)事件，關(guān)鍵的基礎(chǔ)設(shè)施公司必須通知聯(lián)邦政府，特別是CISA。我們必須能夠警告其他潛在的受害者。”

　　英格利斯對(duì)此表示贊同。

　　他說(shuō)：“當(dāng)（私營(yíng)企業(yè)）進(jìn)行關(guān)乎國(guó)家利益的關(guān)鍵活動(dòng)時(shí)，我們很可能需要介入，我們需要像我們對(duì)航空業(yè)和汽車(chē)業(yè)所做的那樣，進(jìn)行監(jiān)管或授權(quán)。”

　　國(guó)家網(wǎng)絡(luò)總監(jiān)的“教練”角色

　　在解釋她如何看待CISA局長(zhǎng)與國(guó)家網(wǎng)絡(luò)總監(jiān)合作時(shí)，伊斯特利表示，她認(rèn)為CISA是國(guó)家網(wǎng)絡(luò)應(yīng)對(duì)的“四分衛(wèi)”，而英格利斯將在確保國(guó)家免受網(wǎng)絡(luò)威脅方面擔(dān)任“教練”。

　　伊斯特利在聽(tīng)證會(huì)上表示：“我認(rèn)為國(guó)家網(wǎng)絡(luò)總監(jiān)是一個(gè)關(guān)鍵的合作伙伴，基本上是負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)戰(zhàn)略和政策實(shí)施的團(tuán)隊(duì)的教練，并真正為聯(lián)邦網(wǎng)絡(luò)生態(tài)系統(tǒng)帶來(lái)連貫性和團(tuán)結(jié)的努力?！?/p>

　　英格利斯認(rèn)同這一觀(guān)點(diǎn)，在面對(duì)如何更好地保護(hù)自己免受更廣泛的網(wǎng)絡(luò)攻擊的問(wèn)題時(shí)，英格利斯說(shuō)，國(guó)家需要?jiǎng)?chuàng)造更大的應(yīng)變能力，因?yàn)榫W(wǎng)絡(luò)攻擊不會(huì)“自動(dòng)停止”。

　　他說(shuō)：“這并不是一場(chǎng)席卷草原的大火，一旦消耗了燃料，它就會(huì)停止燃燒，我們只需等待那一刻。我們必須站出來(lái)。”英格利斯說(shuō)?！拔覀儽仨毑粌H在技術(shù)上，而且在人身上創(chuàng)造彈性和健壯性。我們必須使行動(dòng)與后果相一致；行為良好應(yīng)該有好處，行為不良應(yīng)該有負(fù)面后果?！?/p>

　　英格利斯再次強(qiáng)調(diào)了合作的重要性，不僅是在公共和私營(yíng)部門(mén)，而且是在國(guó)際上。

　　“我們應(yīng)該讓這不僅僅是一個(gè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)問(wèn)題，”英格利斯說(shuō)。“我們應(yīng)該以一種巨大的合作方式來(lái)承載所有的權(quán)力工具，不僅是私人和公共部門(mén)，而且是國(guó)家的多元化?！敝救は嗤兜膰?guó)家需要鏟除庇護(hù)所，并讓那些將我們置于危險(xiǎn)之中的人承擔(dān)后果?！?/p>

　　2021年NDAA規(guī)定了國(guó)家總監(jiān)的幾項(xiàng)具體職責(zé)，包括：

　　領(lǐng)導(dǎo)聯(lián)邦政府在網(wǎng)絡(luò)問(wèn)題上的統(tǒng)一努力；

　　制定和實(shí)施國(guó)家網(wǎng)絡(luò)戰(zhàn)略；

　　協(xié)調(diào)聯(lián)邦民用預(yù)算、政策和計(jì)劃；

　　促進(jìn)公私協(xié)作；

　　提高網(wǎng)絡(luò)系統(tǒng)的彈性、健壯性和防御能力。

　　CISA的”四分衛(wèi)“角色

　　伊斯特利說(shuō)，如果得到確認(rèn)，她將把重點(diǎn)放在幾個(gè)方面，包括”確保我們有執(zhí)行任務(wù)的能力“，包括足夠的資金和權(quán)力，但”主要是人“。其他主要關(guān)注領(lǐng)域?qū)ù_保CISA擁有”所需的操作和技術(shù)可見(jiàn)性“，以及取得成功的”正確的伙伴關(guān)系“。

　　伊斯特利還將CISA局長(zhǎng)定位為聯(lián)邦網(wǎng)絡(luò)安全領(lǐng)域的”四分衛(wèi)“角色，其首要職責(zé)是管理和降低風(fēng)險(xiǎn)，并與各級(jí)政府和私營(yíng)部門(mén)合作，確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。

　　”在聯(lián)邦網(wǎng)絡(luò)生態(tài)系統(tǒng)中，CISA是‘四分衛(wèi)’，負(fù)責(zé)保護(hù)和保衛(wèi)聯(lián)邦民用政府網(wǎng)絡(luò)；主導(dǎo)網(wǎng)絡(luò)事件資產(chǎn)響應(yīng)；并確保及時(shí)和可行的信息在聯(lián)邦、非聯(lián)邦和行業(yè)伙伴之間共享，“她說(shuō)道。

　　”然而，最好的“四分衛(wèi)”不能獨(dú)自贏得比賽；伊斯特利說(shuō)：“網(wǎng)絡(luò)行動(dòng)是而且必須永遠(yuǎn)是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)?！薄癈ISA與政府各級(jí)其他機(jī)構(gòu)以及我們的行業(yè)和國(guó)際合作伙伴合作，在國(guó)家網(wǎng)絡(luò)和基礎(chǔ)設(shè)施恢復(fù)方面發(fā)揮主導(dǎo)作用。這個(gè)生態(tài)系統(tǒng)的一個(gè)關(guān)鍵因素是國(guó)家網(wǎng)絡(luò)總監(jiān)，作為總統(tǒng)的首席網(wǎng)絡(luò)顧問(wèn)，他將確保聯(lián)邦政府的努力連貫一致，”她說(shuō)。