五角大樓(圖片來源:公有領域)
【看中國2019年6月25日訊】(看中國記者憶文編譯)美國《國家利益》6月24日刊文稱,中國(中共)的秘密隧道進入美國防工業的核心,美國國防部和聯邦情報機構要更加透明地瞭解哪些公司對國家安全構成風險以及他們對這些公司的依賴程度。
由於對中國公司華為和中興通訊的擔憂,美國聯邦政府禁止使用他們的產品,川普(特朗普)總統將華為列入禁止與美國公司進行業務往來的實體名單,因此供應鏈漏洞已引起全美關注。
據美國《國家利益》報導,雖然這些行動解決了一些公司的部分供應鏈風險,但對有問題的公司來說,一次性禁令將不足以保護美國。正如聯邦首席信息安全官施耐德(Grant Schneider)所說,這些僅僅是「我們需要一種更加系統化的方法來應對挑戰的重要解決方案」。
報導說,好消息是美國政府官員終於開始關注其供應鏈的脆弱性。去年,國土安全部成立了一個信息和通信技術供應鏈工作組,由公共和私營部門的代表組成。去年12月通過的一項法律,促成了新的聯邦採購安全委員會的成立,該委員會5月舉行了第一次會議。白宮最近發布了一項行政命令,禁止從那些被視為對美國國家安全構成威脅的公司獲取和使用任何信息、通信技術,以及服務。
突如其來的擔憂並未過分誇大。今年3月,網路安全公司Carbon Black發布了一份報告,顯示大約一半的惡意網路活動是利用供應鏈漏洞實現的,通過供應商進行「跳島戰術」,尋求更有利可圖的目標。為了加強美國的安全,美方必須系統地處理供應鏈網路風險。為了盡量減少跳島,政府和其他組織不僅要分析自己的網路安全,還要分析他們購買和使用商品和服務的公司的安全性。
評估供應鏈風險的第一步是確定實體供應鏈中的確切位置。政府承包商是分層的,高層的大公司可能不瞭解他們所依賴的所有分包商的身份和風險狀況,以提供複雜的系統。正如國防承包商洛克希德·馬丁公司副首席信息安全官邁克·戈登(Mike Gordon)去年所說,「由於合同的相互關係和競爭優勢,第一級並不一定知道四級中誰在制定特定的項目,而且政府也不一定知道。」
一旦政府機構和公司確定了供應鏈中的企業,下一步就是區分供應鏈中的哪些公司構成威脅。如何才能做到這一點呢?
在評估特定供應商構成的風險時,需要考慮四個關鍵因素:(1)相關信息的敏感性;(2)存在風險的基礎設施的重要性和普及性;(3)供應商所在國的歷史和法律結構;(4)供應商本身的歷史和結構——包括以前的網路間諜事件以及與敵對的外國政府實體或人物的密切聯繫。
其中一些因素比其他因素更難以評估。例如,對以前的間諜活動或外國關係的指控可能難以被證明——特別是在關鍵信息被分類時。2016年國防部J-2情報局警告五角大樓使用聯想產品的情況就是如此。
文章說,最終,為了改善供應鏈安全,國防部和聯邦情報機構需要更加透明地瞭解哪些公司存在風險以及他們對這些公司的依賴程度。在這些問題上,州和地方政府官員以及許多私營企業幾乎肯定不如聯邦機構知情。不必要地隱藏信息可致使他們在評估自己的供應鏈風險時面臨更多風險,讓美國公民更容易受到傷害。
對於缺乏網路安全專業知識和資源的小型承包商來說,消除供應鏈風險可能尤其成問題。國防部首席信息官迪希(Dana Deasy)希望新興技術可以幫助減輕小型承包商的負擔。
一些人可能認為解開聯邦供應鏈是一項不可能完成的任務。但是,改善網路安全不僅需要在供應鏈的頂層進行適當的清除,還需要在較低級別進行類似的行動。審計如此龐大的網路將需要大量的資源和精力。然而,使用這些資源來防止惡意網路行為比後來事情發生後收拾殘局要好得多。
看完那這篇文章覺得
排序