根據當地時間7月9日發布的一份監察長報告，美國國防部和國土安全部需要進行更大程度的合作，以確保美國關鍵基礎設施免受各種網絡威脅。報告委婉指出兩個部門之間的網絡安全合作并未達到預期。這份報告于7月9日發表，但本周解密。

　　監察報告概述

　　該報告建議國防部和國土安全部履行2018年雙方簽署的備忘錄中列出的義務，其中包括協同應對美國關鍵基礎設施面臨的各種網絡威脅的細節。

　　具體而言，該報告建議國防部-國土安全部網絡保護和國防聯合指導小組建立里程碑，以跟蹤完成2018年協議的進展，兩部門都進行跟蹤，以確保協議正常履行。

　　“具體到2018年的備忘錄，缺乏實施計劃可能會導致國防部官員無法向國土安全部提供所需的援助，以幫助國防部和國土安全部開展聯合行動，保護關鍵基礎設施；支持國家、地方、部落和地區政府；共同保護軍事和民用網絡免受網絡威脅。”

　　該報告還指出，在針對SolarWinds（太陽風）公司和其“獵戶座”網絡監控平臺用戶的網絡間諜活動之后，國防部和國土安全部之間的密切合作對幫助保護關鍵基礎設施至關重要。

　　對SolarWinds供應鏈入侵的調查發現，攻擊者專門針對100家私人公司和9個聯邦機構，其中包括國土安全部。

　　“雖然SolarWinds供應鏈攻擊事件與缺乏實施計劃無關，但該事件仍然表明了國防部和國土安全部應對任何網絡威脅的能力的重要性和關鍵性，通過實施在2018年的聯合備忘錄中一項實現共同目標的計劃，情況大大改善，”報告指出。

　　各方反應

　　報告指出，國防部副部長同意監察長提出的建議，但是參謀長聯席會議不同意。然而，參謀長聯席會議正計劃召開國防指導小組會議，就如何解決報告中概述的問題達成共識。

　　“因此，我們認為國防部副部長和聯合參謀部的計劃行動足以解決這些建議。一旦我們確認行動完成，我們將關閉這些建議。”

　　檢察長的報告沒有包含國土安全部的回應。

　　之前的協議

　　根據監察長報告，美國國防部和國土安全部在2010年、2015年和2018年簽署了三份網絡安全協議。

　　2018年10月國防部長和國土安全部部長簽署的備忘錄指出，明確國防部和國土安全部之間的角色和責任，以加強美國政府應對網絡威脅的準備2018年的備忘錄指出，國防部負責支持保護國防關鍵基礎設施和國防工業基地網絡和系統免受惡意網絡活動的影響，這些惡意網絡活動可能會削弱美國的軍事實力。該備忘錄建立了六條保障、保護和保衛美國的努力線，重點是國防部和國土安全部之間的合作和協作，如下表所示。

　　報告稱，這些協議還包括美國國家安全局和美國網絡司令部的合作，已經制定了各種應對網絡威脅的計劃，包括協助國防部為國內網絡安全準備和事件響應提供幫助。

　　這份由美國國防部和國土安全部部長于2018年簽署的協議，本應繼續開發各種網絡安全計劃，但監察長的報告發現，“（國防指導小組）的聯合主席表示，他們沒有制定實施計劃，因為他們不打算將2018年的備忘錄作為合同協議。”

　　無論如何，監察長報告敦促國防部和國土安全部全面實施2018年協議中概述的網絡計劃。

　　該報告稱：“如果沒有明確定義角色和責任、確定里程碑和完成日期的實施計劃，國防部可能無法維持與國土安全部在保護國家關鍵基礎設施方面的合作。”

　　聚焦關鍵基礎設施

　　除了針對SolarWinds的攻擊活動外，過去幾個月發生的一系列勒索軟件攻擊也暴露出網絡威脅如何破壞美國的關鍵基礎設施。美國國土安全部（Department of Homeland Security）下屬的美國網絡安全與基礎設施局（U.S. Cybersecurity and Infrastructure Agency）通常負責處理這類事件。接連不斷的重大網絡攻擊事件，凸顯應對網絡安全威脅時，各方合作協同應對的重要性。DOD和DHS本應在各自職責范圍下對保護國防工業基礎和民用基礎設施的網絡安全上發揮更大作用，共同合作更是各方所期待的。

　　7月15日，美國國務院（State Department）宣布，將向有關美國關鍵基礎設施受到網絡威脅的信息提供1000萬美元的獎勵。CISA還推出了一個名為“停止勒索軟件”（StopRansomware）的新的勒索軟件資源網站，供需要更多了解這些威脅的企業、個人和組織使用。