美國政府問責(zé)局（GAO）敦促政府對網(wǎng)絡(luò)安全問題做出更迅速的反應(yīng)，特別是在SolarWinds供應(yīng)鏈攻擊造成9個聯(lián)邦部門以及約100家公司失陷之后。

　　根據(jù)《2021年國防授權(quán)法案》的授權(quán)，該聯(lián)邦監(jiān)管機(jī)構(gòu)在其新發(fā)布的網(wǎng)絡(luò)安全審計報告中敦促拜登政府盡快在白宮內(nèi)任命一名國家網(wǎng)絡(luò)主管，以協(xié)調(diào)政府對重大安全問題的響應(yīng)。兩黨議員也一直在向政府施壓要求提名候選人。

　　白宮新聞秘書珍·普薩基（Jen Psaki）3月16日表示，目前白宮正在對國家網(wǎng)絡(luò)主管一職進(jìn)行為期60天的審查。

　　美國政府問責(zé)局的報告還敦促政府機(jī)構(gòu)改善供應(yīng)鏈安全性，制定更全面的事件應(yīng)對計劃，并呼吁國會通過一項國家隱私法。

　　印第安納大學(xué)網(wǎng)絡(luò)安全項目主席斯科特？沙克爾福德（Scott Shackelford）指出，在報告的所有建議中，任命一個白宮級別的網(wǎng)絡(luò)協(xié)調(diào)員尤為重要。

　　“這份新的報告與以往相比更明顯地表明，拜登政府需要盡快任命一名國家網(wǎng)絡(luò)主管，”沙克爾福德說：“國家安全委員會的網(wǎng)絡(luò)安全團(tuán)隊和其他團(tuán)隊目前做得很好，但我們?nèi)匀黄惹行枰嗟膮f(xié)調(diào)、資源和參與，以更好地處理美國面臨的多方面網(wǎng)絡(luò)威脅。”

　　國土安全部失陷

　　美聯(lián)社3月30日報道稱，SolarWinds攻擊者竊取了多個美國國土安全部和能源部官員的郵件賬戶訪問權(quán)限，其中包括查德·沃爾夫（Chad Wolf）的至少一個賬戶，其在特朗普政府任期末尾擔(dān)任國土安全部代理部長。

　　據(jù)美聯(lián)社報道，攻擊者顯然針對的是負(fù)責(zé)調(diào)查海外威脅的國土安全部工作人員，此外能源部官員的日程表也成為他們的目標(biāo)。

　　SolarWinds 余波未了

　　美國政府問責(zé)局的報告指出，SolarWinds供應(yīng)鏈攻擊事件表明，政府機(jī)構(gòu)保護(hù)、響應(yīng)以及防御安全入侵的能力“仍然存在薄弱環(huán)節(jié)”。

　　負(fù)責(zé)調(diào)查SolarWinds攻擊事件的美國機(jī)構(gòu)認(rèn)為，一個與俄羅斯有關(guān)的組織很可能進(jìn)行了網(wǎng)絡(luò)間諜行動，獲得了電子郵件通信的訪問權(quán)，并在美國聯(lián)邦網(wǎng)絡(luò)內(nèi)建立了長期的持久化后門。美國國土安全部發(fā)言人告訴美聯(lián)社，該部門“網(wǎng)絡(luò)中現(xiàn)在已經(jīng)檢測不到失陷指標(biāo)”。

　　但前美國國家安全局精英黑客團(tuán)隊成員、現(xiàn)經(jīng)營網(wǎng)絡(luò)安全咨詢公司Rendition Infosec的杰克-威廉姆斯（Jake Williams）在Twitter上回應(yīng)美聯(lián)社的報道稱：可能需要數(shù)年時間才能確定SolarWinds攻擊事件造成的全部影響。

　　拜登政府也正在調(diào)查針對本地部署微軟Exchange電子郵件服務(wù)器中未修補(bǔ)漏洞的攻擊，這些漏洞已經(jīng)影響到數(shù)千個組織，包括許多小型公司和地方政府機(jī)構(gòu)。

　　對美國政府問責(zé)局的答復(fù)

　　美國政府問責(zé)局曾要求國土安全部、國家安全委員會和行政管理與預(yù)算局在其網(wǎng)絡(luò)安全審核報告發(fā)布之前提供意見。

　　審計報告指出，國土安全部在報告中增加了技術(shù)細(xì)節(jié)，同時行政管理和預(yù)算局回應(yīng)稱：該機(jī)構(gòu)正在努力改善兩個具體領(lǐng)域——確保聯(lián)邦系統(tǒng)和信息的安全以及保護(hù)敏感數(shù)據(jù)的隱私。

　　國家安全委員會的工作人員在給美國政府問責(zé)局的答復(fù)中指出：“在政府為網(wǎng)絡(luò)政策問題制定方針的同時，該草案對國家面臨的網(wǎng)絡(luò)安全挑戰(zhàn)以及可做出具體改進(jìn)的機(jī)會進(jìn)行了全面審查。”

　　但美國政府問責(zé)局指出，許多美國聯(lián)邦部門尚未解決涉及網(wǎng)絡(luò)安全的重大問題。例如，該報告發(fā)現(xiàn)，在其審計的23個機(jī)構(gòu)中，沒有一個機(jī)構(gòu)“充分實施了管理信息和通信技術(shù)供應(yīng)鏈的關(guān)鍵基礎(chǔ)實踐”。

　　審計報告稱，美國政府問責(zé)局已經(jīng)提出了145條供應(yīng)鏈建議，供政府機(jī)構(gòu)遵循。

　　自2010年以來，該監(jiān)管機(jī)構(gòu)向聯(lián)邦政府各部門提出了約3300條網(wǎng)絡(luò)安全建議。報告指出，截至2020年12月，其中750項建議尚未得到落實。

　　四個領(lǐng)域有待改進(jìn)

　　美國政府問責(zé)局的報告著眼于四個亟待改進(jìn)的領(lǐng)域。

　　建立全面的網(wǎng)絡(luò)安全戰(zhàn)略并實施有效監(jiān)督。

　　確保美國聯(lián)邦系統(tǒng)和信息的安全；

　　保護(hù)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施；

　　保護(hù)隱私和敏感數(shù)據(jù)。

　　美國政府問責(zé)局指出，雖然特朗普政府已于2018年9月制定了國家網(wǎng)絡(luò)安全戰(zhàn)略，并在2019年6月制定了實施計劃，但這些措施并沒有提供目標(biāo)和資源來創(chuàng)建一個行之有效、覆蓋整個政府范圍的戰(zhàn)略來解決安全問題。

　　圖：美國政府問責(zé)局正在敦促聯(lián)邦政府解決四個網(wǎng)絡(luò)安全領(lǐng)域的問題。（來源：美國政府問責(zé)局）

　　據(jù)審計報告稱，“新政府應(yīng)當(dāng)更新現(xiàn)有的戰(zhàn)略或計劃，或者制定新的綜合戰(zhàn)略來滿足上述要點”。

　　美國政府問責(zé)局發(fā)現(xiàn)，雖然聯(lián)邦政府在保護(hù)聯(lián)邦系統(tǒng)和信息的安全方面取得了一些進(jìn)展，但SolarWinds供應(yīng)鏈攻擊事件表明仍需做出更多改進(jìn)。例如，通過此次審計可以確定，16個聯(lián)邦機(jī)構(gòu)缺乏事件應(yīng)對計劃。

　　美國政府問責(zé)局建議，監(jiān)督并負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的聯(lián)邦機(jī)構(gòu)應(yīng)自愿采用美國國家科學(xué)技術(shù)研究所的網(wǎng)絡(luò)安全框架，以幫助建立更全面的網(wǎng)絡(luò)安全方案。審計報告還指出，美國政府問責(zé)局自2010年以來提出的80項與關(guān)鍵基礎(chǔ)設(shè)施安全有關(guān)的建議中，仍有大約50項尚未落實。

　　美國政府問責(zé)局的報告還表示，有多個聯(lián)邦機(jī)構(gòu)在保護(hù)公民數(shù)據(jù)方面存在不足。另外，它還敦促國會盡快通過美國國家數(shù)據(jù)保護(hù)和隱私法。