隨著人類活動逐漸移往線上空間,阻止有心人士毀了這一切變得至關重要。這是否意謂著聯邦政府的網路安全機構時代來臨了?
文/Sam Bocetta 譯/Nica
美國政府內部機關單位為處理現代問題並滿足公民持續變化的需求,已隨著時間推移逐步進化。舉例來說,國土安全局(Department of Homeland Security, DHS)就是在恐怖911攻擊後那段時間建立,屬於為提升本國安全與處理恐怖主義威脅的因應措施。
時序跳到今日,網路安全已然成為橫跨全球:含括政府、私人企業與個體公民的終極靶心。當駭客啟動攻擊,得以在重點企業產生資料外洩事件,就能影響數百萬人。想像未來(或經典如星際爭霸戰情節)國家之間走向戰爭時,彼此用的是純數位模式的景況,其實不算牽強。
隨著政府試圖解決網路安全牽涉的範圍,問題已成為如何盡全力管理威脅與組織防禦。本文,我們將探索新聯邦網路安全機構保持對整個美國數位環境控制的可能性。
當今政府的網路安全
時下,美國政府各方面皆仰賴網際網路與資料網路。意即個別機構與部門都必須考量自身網路安全,以及單點洩漏或斷電對國家公民會造成什麼樣的影響。
不過,四散的網路安全責任並非有效策略。因為,此舉將令維持群組管理並專注於新興威脅難上加難。當多組團隊人員在自已的孤島裡各自為政,而不是協同合作一起解決問題,就是浪費時間。
專家們深信美國是容易受到網路攻擊的,因為政府缺乏在防禦機制與策略上的中央集權領導。目前,包括聯邦調查局、國防部、國土安全局,以及CIA與NSA這類各種情報組織,各個機構內部皆設有網路安全部門。
單一機構模式
美國兩大政黨立法者皆認為有必要簡化政府對網路安全的處理流程。事實上,近期已啟動了名為「網路溫室委員會」(Cyberspace Solarium Commission,CSC)的新任務。目的是成立一個為將至的未來開發整合性網路安全策略的特遣組織。
在這樣的構思下,個別政府機關仍然必須將網路安全視為頭號優先處理項目之一,但新的聯邦組織會負責建立整體策略,並全面針對各個不同機構強制執行策略方針與處理程序。
單一機構模式亦成為負責領導國家、因應所有新興或預期中的攻擊。與其各機構毫無章法的進行防禦,不如有個集中領導單位指出如何反應行動與緩解數位威脅的方向。
集中治理網路安全的益處
綜上所述,集中管理單位負責政府所有的網路安全事務,將能建立更有組織且更有效率的領導模式。有望馬上封鎖更多威脅,並防止這些威脅成為基礎架構、網路與資料的危害事件。
理想上,聯邦網路安全機構也是推動國際關係方面的代表。這個新組織可與其他大洲聯盟開發針對安全技術的全球策略。我們已經在私人機構看到這種型式的協同合作:辦公室散佈全球的企業員工集中他們的資源,最後成就了無與倫比的產品。
如何在美國政府組織分級組織下建構集中式網路安全單位,仍有待觀察。這個單位可能從其他機構與私人單位召集專家。落在美國軍隊保護傘下會是不錯的選擇,因為駭客動作可視為國家安全威脅與戰爭行為。事實上,有部份人認為未來美國政府可能真的招募網路安全專家進入該機構,借用他們的知識與技能保衛國家。
這項保護措施一開始會將重點放在教育上,為社會大眾提出線上安全工具程式的建議與戰略。使用不會追蹤你的搜尋引擎(例如Brave或TrustNav)、利用VPN連線加密與匿名安裝惡意軟體封鎖的防火牆。上述全是聯邦機構廣泛推廣的完美選項。它們已證明可行,只是需要一個最佳公開的講壇(bully pulpit)以提高大家的警覺。
舉例而言,25%左右使用線上VPN的網際網路訪客,讓其餘四分之三的我們生活在危險之中。聯邦級網路安全機構可藉由納入新興人工智慧與機器學習技術,為這種新型安全性工具投入金錢與人力。
公民安全展望
單一聯邦網路安全機構整體而言會是公民的全面勝利。這個部門裡的職位不會是由選舉決定。理論上,這個組織會是專注在保衛資料與美國權力的無黨派部門。
此新聯邦機構將有可能負責宣佈如何存放與傳輸網際網路上隱私資訊的法規。在歐盟,一般資料保護法(GDPR)法規的通過,改變了網路公司的營運。相同的狀況也可能發生在美國。
在GDPR下,企業組織有責任向第三方與廣告商公開如何管理使用者資料與儲存方式。此外,這項法規明定公司行號必須如何因應資料外洩與如何通知人們事件的發生。無法符合這些標準的公司行號,將處以罰金與其他刑責。
底線
由為我們有這麼多的日常行為都在線上完成,網路安全的重要性成為首要之務。駭客不斷尋求攻擊個人使用者的機會,但類似戰術亦用於全球範疇,埋下數位戰爭的種子。
儘管有一定比例的公民對這個還未成立的聯邦機構感到畏懼,已有許多耳語在國會大廳流竄。 預計這一切終究還是會發生,但願在第三次世界大戰前,已擁有遍佈全球各地的伺服器。拋開政治。為了我們自己,是時候讓全方位國家網路安全機構做主了。