美國的國家級網路安全戰略Part 5
支柱四: 投資具韌性的未來
馬照跑、舞要跳的數位化未來始於今天的投資。美國政府可以透過策略性灑幣和協調一致的協作行動,建立一個更安全、有韌性、保護隱私和公平的數位生態系統。透過這樣做,美國將保持其作為世界上老大哥地位。
數位生態系統的基本要素(例如網際網路)是公部門和私人單位持續且相互支持的投資的產物。然而,公部門和私人單位對網路安全的投資長期以來一直落後於美國面臨的威脅和挑戰。隨著建造從下一代電信和物聯網到分散式能源的新一代數位基礎設施,並為人工智慧和量子運算帶來的技術格局革命性變化做好準備,解決缺預算的需求變得更加緊迫。
聯邦政府會用創新、研發和教育方面的撒幣來推動經濟可持續且符合國家利益的成果。美國將利用美國國家科學基金會 (NSF) 的區域創新引擎計畫、長期存在的安全可信任網路空間計畫; 《跨黨基礎設施法》、《降低通膨法》以及《CHIPS 和科學法》中規定的撒幣計畫;建立機構;以及聯邦研發企業的其他要素。
這些撒幣將確保美國在技術和創新方面繼續保持領先地位,作為現代工業和創新戰略的一部分。數十年來,壞蛋和壞蛋國家將美國的技術和創新武器化 — — 竊取美國的智慧財產權、干擾或影響美國的選舉、削弱美國的國防 — — 已經證明,沒有安全的創新領導力是不夠的。美國將透過有針對性、協調一致的行動來補充美國超越其他國家的創新,以優化網路安全關鍵和新興技術的開發和部署。美國將確保韌性不是新技術能力的非必元素,而是創新和部署過程中商業上可行的要素。
戰略目標4.1: 確保網際網路的技術基礎
數位生態系統的許多技術基礎本質上都是脆弱的。每次在此基礎上建立新的東西時,都會增加新的漏洞並增加集體風險暴露。必須採取措施緩解這些普遍存在的最迫切問題,例如網路協定BGP漏洞、未加密的DNS Request以及 IPv6 還沒全面使用。這種降低系統性風險的「清理」作業需要決定這些安全挑戰中最需要解決的問題(可能製作風險清單),進一步制定有效的安全措施,並在公部門和私人單位之間密切合作,以在不破壞現行平台和服務的情況下降低風險開口在此基礎設施之上。聯邦政府將帶頭確保其網路實施這些和其他安全措施,同時與利害關係人合作開發和推動解決方案的採用,以提高網際網路生態系統的安全性,並支持研究以了解和解決緩慢的原因。
維持由美國說了的網際網路需要持續參與標準制定流程,以灌輸美國價值觀,並確保技術標準產生更安全、更有韌性的技術。隨著專制政權尋求改變網路及其多利害關係人基礎,以實現可以讓這些壞蛋政府控制、審查和監視,美國及其盟友和私人單位合作夥伴將實施多管齊下的策略,以保持技術卓越性、保護美國的安全、推動經濟發展。透過支持非政府標準制定組織(SDO-Standards Developing Organizations),美國將與產業領導者、國際盟友、學術機構、專業協會、消費者團體和NGO合作,以確保新興技術的安全、實現互通性、促進全球市場競爭,以及保護美國的國家安全和經濟優勢。
戰略目標4.2:重振聯邦網路安全研究和開發
聯邦政府會優先考量防禦性和韌性架構的研究和開發,並減少底層技術的漏洞,美國可以確保未來的技術比今天的技術更棒棒。
作為聯邦網路安全研究與發展策略計畫(Federal Cybersecurity Research and Development Strategic Plan)的一部分,聯邦政府會主動預防和減緩現有和下一代技術中的網路安全風險。各部門和機構將指導研發專案,以提高人工智慧、OT和工控系統、雲端基礎設施、電信、加密、系統透明度和關鍵基礎設施中使用的數據分析等領域的網路安全和韌性。美國政府會撒幣,並透過與學術界、製造商、科技公司的合作來支持。
研發投資將聚焦在三類技術,這些技術將在未來十年對美國的領導地位發揮決定性作用:
- 運算相關技術,包括微電子、量子資訊系統和人工智慧
- 生物技術和生物製造
- 清潔能源技術。
這項研發投資將有助於主動識別潛在漏洞以及緩解這些漏洞的研究。研發投資還將支持更廣泛的現代工業和創新策略,以促進協調和戰略創新,並透過美國政府的撒幣跟法規,來為產品和服務創造市場。
戰略目標4.3: 為後量子未來做好準備
強大的加密是網路安全和全球商業的基礎。這是保護線上資料、驗證最終用戶、驗證簽名和證明資訊準確性的主要方式。但量子運算有可能打破現行一些最普遍的加密標準。美國政府會加快投資一堆容易更換會受量子電腦損害的硬體、軟體和服務,以保護資訊免受未來的攻擊。
為了平衡量子運算的推廣和進步與對數位系統構成的威脅,NSM 10 “Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems”,建立了一個及時將國家密碼系統過渡到可互通的流程。聯邦政府會將易受攻擊的公共網路和系統過渡到基於抗量子密碼學的環境,並制定補充緩解策略,以在面對未知的未來風險時提供密碼敏捷性。私人單位應該效法政府的模式,為後量子時代的未來準備自己的網路和系統。
戰略目標4.4: 保護清潔能源的未來
美國正在加速向清潔能源未來轉型,新一代網際網路硬體和軟體系統將上線,這些系統有可能增強美國電網的韌性、安全性和效率。這些技術,包括分散式能源、「智慧」能源產生和儲存設備、先進的雲端電網管理平台以及專為大容量可控負載設計的輸配電網絡,比前幾代技術更加複雜、自動化和數位化互連的網格系統。
隨著美國對新能源基礎設施進行代際投資,政府將抓住這一戰略機遇,透過實施國會指導的Congressionally-directed National Cyber-Informed Engineering Strategy,主動加強網路安全,而不是在這些網路互聯之後再開發拼湊的安全控制措施。美國政府正在協調聯邦政府、產業和 SLTT 利害關係人的工作,部署一個由電動車充電器、零排放加油基礎設施以及零排放交通和校車組成的安全、可互通的網路。美國能源部透過CECA(Clean Energy Cybersecurity Accelerator)和跨黨派基礎設施法指導的能源網路感知方案等作業,國家實驗室正在確保未來清潔能源電網的安全,並制定安全最佳實踐,以確保未來的清潔能源網路安全。美國能源部也將繼續與產業、各州、聯邦監管機構、國會和其他機構合作,促進配電和分散式能源的網路安全。
戰略目標4.5: 支持數位身分生態系統的發展
強化的數位身分解決方案和基礎設施可以搞更好的數位經濟。這些解決方案可以支援更容易、更安全地取得政府福利和服務、可信任通訊和社交網路,以及數位合約(digital contracts)和支付系統的新可能性。
如今,由於缺乏安全、保護隱私、強迫中獎的數位身分解決方案,詐欺行為猖獗,排斥和不平等現象長期存在,並導致金融活動和日常生活效率低下。身分盜竊現象呈上升趨勢,2021 年資料外洩事件將影響近3 億受害者,壞蛋透過詐欺手段獲取了數十億美元的COVID-19 大流行救助資金。這種惡意活動影響偷走了美國跟美國人的錢。無論是私人單位還是公部門獨立運作,都無法解決這個問題。
聯邦政府將灑幣在對強大、可驗證的數位身分解決方案,以促進安全性、可存取性和互通性、金融和社會包容性、消費者隱私和經濟成長。這些工作以《CHIPS 和科學法案》授權的 NIST 領導的digital identity research program為基礎,將包括加強數位憑證的安全性;提供屬性和憑證驗證服務;進行基礎研究;更新標準、指南和治理流程以支援一致使用和互通性;開發促進透明度和衡量的數位身分平台。聯邦政府承認各州正在試行行動駕駛執照,聯邦政府有注意到並鼓勵關注隱私、安全、公民自由、公平、可存取性和互通性。
在發展這些能力的過程中,數位身分政策和技術將保護和增強個人隱私、公民權利和公民自由;防止"意外後果、偏見和潛在的濫用";允許個人選擇供應商和自願使用;提高安全性和互通性;促進包容性和可存取性;提高技術和個人資料使用的透明度和問責制。
戰略目標4.6: 制定強化網路勞動力的國家策略
如今,美國的網路安全職位還有還有一大堆,而且這一缺口還在不斷擴大。私人單位和公部門雇主在招募、僱用和留住專業人員來填補這些空缺方面都面臨挑戰,這對美國的集體網路安全產生了負面影響。為了應對這項挑戰,ONCD 將領導國家網路勞動力和教育策略的發展並監督實施。
該戰略將採取全面、協調的方法來擴大國家網路勞動力,提高其多樣性,並增加獲得網路教育和培訓途徑的機會。它將滿足所有經濟市場對網路安全專業知識的需求,特別關注關鍵基礎設施,並使美國勞動力能夠繼續在安全和有韌性的下一代技術方面進行創新。該策略將加強聯邦網路勞動力並使其多樣化,解決公部門在招聘、保留和發展保護聯邦數據和 IT 基礎設施所需的人才和能力方面面臨的獨特挑戰。而且,該戰略將認識到網路勞動力挑戰並非美國獨有,而是在其他國家正在進行的努力的基礎上去取經。
該戰略將建立在發展國家網路安全勞動力的現有努力的基礎上,包括一堆有的沒有的獎學金跟資助學習方案。該戰略還將利用國家科學基金會和其他科學機構正在進行的勞動力發展計劃來強化聯邦政府的計劃。
該戰略將解決網路勞動力缺乏多樣性的問題。雇主從太少的人才庫中進行招聘,而這些人才無法充分利用美國的多樣性(也就是搞平等)。女性、有色人種、第一代專業人士和移民、殘疾人士以及 LGBTQI+ 個人都是該領域代表性不足的群體。解決系統性不平等並克服阻礙網路勞動力多樣性的障礙既是道德上的必要性,也是策略上的當務之急。
為了招募和培訓下一代網路安全專業人員以保護數位生態系統,需要聯邦的領導以及公部門和私人單位之間的持久夥伴關係。除非任何有能力、希望從事網路安全職業的美國人都能從事網路安全職業,並且每個有空缺職位的組織都參與培訓下一代網路安全人才,否則就不可能建立和維持強大的網路勞動力。
