美国总统川普5月2日签署了一项有关培养和加强联邦网络安全工作人力的行政命令。
白宫表示,美国有超过30万个网络安全职位空缺,填补这些空缺对国家经济和安全至关重要。
这份行政命令概述了一项轮岗计划,该计划允许政府雇员暂时被分配到其他机构。它还鼓励采纳国家网络安全教育计划(NICE)的网络安全劳动力框架,该框架有助于招募和留住人才并提高人才实力。
特朗普政府还希望通过奖励和竞争来增加网络安全人员。
一些网络安全行业人员在评论这项新行政命令时表示,这是朝着正确方向迈出的一步,而其他人则指出,这可能不会有太大帮助,或者需要做更多工作。
以下是他们的评论…
1. Capsule8产品策略副总裁Kelly Shortridge:
鉴于已经有认证和在线课程可以证明应聘人员在网络安全方面的能力和热情,我不确定新标准将如何帮助从业人员缩小技能差距。太多的工作需要应聘者拥有多年的工作经验,这就不再是有知识差距的问题了,而是在于如何不仅仅通过雇佣高级人才,帮助商业组织制定强有力的安全计划。
此外,还有很多来自弱势背景的人,他们接受了认证/培训,却仍然没有找到工作。 就联邦政府而言,鉴于私营部门对网络安全人才给出的工资很高,由于联邦政府缺乏具有竞争力的薪酬,所以很多职位都存在空缺。轮岗项目和CTFs可能会鼓励联邦政府工作人员进入网络安全领域,但不太可能有效吸引那些选择了私营部门的人。 |
2. CybeReady公司联合创始人、战略官Mike Polatsek:
听到行政命令将鼓励采纳国家网络安全教育计划(NICE)的网络安全劳动力框架非常令人受到鼓舞。我希望这一举措能帮助企业招募和留住人才,这对那些与私营部门争夺人才的政府机构尤其重要。安全教育的主要挑战是缩短从“新手”到专家的过程;网络空间正在经历发展,网络安全已成为一项复杂的事业。这将需要我们利用敏捷工具、科学方法、现实模拟和持续的演练,来建立一支专业的网络安全队伍,以应对当今的网络威胁,并跟上它们的快速发展。 |
3. Synopsys高级顾问Andrew van der Stock:
这份关于美国网络安全员工的行政命令传达了非常好的信息,因为它为培养更多信息安全人才提供了一条道路——这是美国迫切需要的。通过要求联邦机构实施NIST国家网络安全教育计划(NICE)学习框架,要求军方设置奖励和奖项,并要求社会设置奖励和比赛——把它们纳入公共教育系统中,这些措施都将在解决技能短缺问题上起到很大的作用。
我对NICE的一个担心是,它忽视了美国在建构不安全软件方面的主导作用,因为它关注安全操作是通过法律取证。虽然NICE还没有完善,但随着网络威胁形势的演变,总会出现改进的空间。最关键的是这一行政命令不是关于NICE本身,而是关于实施NICE,这是迈出的重要一步。 |
4. Trustwave SpiderLabs董事Mark Whitehead:
行政命令是政府用来快速制定有关国家重要举措的重要工具。我们很高兴看到各方正在致力于对抗网络威胁,这些威胁已经变得更加复杂和肆无忌惮。我们也很高兴看到更多的跨部门合作,这将为各个机构节省时间、金钱和资源。看来这份行政命令经过深思熟虑,有框架、问责制、激励机制,以及里程碑和时间表。
其中包含的培训计划和活动应该会为联邦雇员创造巨大的机会。联邦政府和私营部门一样,正在同网络安全人员短缺作斗争。 该命令还应有助于改善联邦和商业实体之间的知识共享。共享网络情报对于政府了解各民族国家正在制造的威胁和技术至关重要。各部门高层持续承诺履行问责制,能够更好地防止我们的联邦和雇员面临来自网络犯罪分子和国家资助团体的物理和远程控制。 |
5. Security Metor安全官Dan Lohrmann:
我不断从全球公共和私营部门听到我们的挑战是找到并留住技术人才进行创新。在科技行业,填补网络安全职位空缺是最困难的,预计本世纪20年代将有数百万个网络职位空缺。
这一行政命令将注意力集中在我们当前面临的网络挑战上——我们的网络安全工作人员。这些步骤对于加强联邦政府竞争力非常重要,同时也为网络安全人才填补高薪和前沿的职位提供了一个通道,保护我们的政府和企业免受网络威胁。这仅仅是开始,还有更多的工作要做。尽管如此,这些竞赛在各个层次上都能发挥作用——从开设Cyber Patriot等课程的K-12学校,到在高校开展全国网络防御竞赛,再到联邦政府机构的比赛。使用NICE作为框架也是一个不错的选择。 总而言之,总统这一步走的很出色——政府和私营部门需要采取更多行动来提供帮助。 |
6. Fortinet信息安全官Phil Quade:
美国政府发布了一项行政命令,旨在解决政府各部门和机构人员网络安全技能参差不齐的问题。该条例名为“美国网络安全劳动力”,它在政府内部制定了一项政策,鼓励网络安全人力跨部门流动。人们对这份条例应该进行更深入地分析,因为它承认任何组织,无论大小,都必须客观地了解其不足和长处。
概括来说,网络安全需要被视为一门科学,而不是一门艺术。没有更严格地规划和执行网络安全战略,理解优化网络安全所必需的基本要素,就不会有什么好事发生。出于对政府的充分尊重,他们的使命是保护国家,如果认为他们会和威胁我们的民族国家一决高下,试图渗透政府系统,或者独自监测和应对复杂的网络威胁,那就大错特错了。 为了缩小网络技能的差距,每个人——无论是公共部门还是私营部门——都必须围绕网络安全制定完善的人才计划,创建一个可以为很多人服务的人才库。我们需要打造一支具备不同技能水平、门槛低、不断进步的人才队伍,以应对当今日益集中的安全挑战。其中应该包括学徒、熟练工、新手到专家,所有人都具备高级网络安全技能和经验。 |
7. Venafi安全策略和威胁情报副总裁Kevin Bocek:
总的来说,白宫正在积极采取措施,专注于我们国家基础设施面临的网络安全风险。这对我们国家来说是一个至关重要的问题,87%的网络安全专家认为我们已经在打一场网络战争了。
然而,要使这一指令获得成功,政府官员要做的不仅仅是承认解决网络安全威胁存在的困难和紧迫性。 特别值得注意的是,这项新指令集中解决了美国联邦政府在吸引和留住人才时缺乏竞争力的问题。如果政府想招募网络安全领域内人才,必须确保我们的工具和技术是很好的,并通过在关键政策问题上与业界合作,展示政府要取得成功的信心。 例如,如果本届政府真的不仅仅只是做出一份政策声明,他们可以听取数十名行业专家的建议,决定我们不会在消费者技术中引入加密后门,因为这只会削弱我们的防御能力并帮助我们的对手。 |
8. Claroty威胁研究副总裁Dave Weinstein:
我欣赏白宫在解决我们国家最关键的劳动力问题上采取了前瞻性的做法。网络安全既是一个技术问题,也关乎人才。让我们面对现实吧,联邦政府在这方面工作的激励——无论是经济上的还是其他方面的——与业界相比都相形见绌。与此同时,联邦政府在有一方面是私营部门无法与之竞争的:使命。这份行政命令为面向任务的网络安全人员提供了一种合法的行业选择,即使这意味着减薪。谈到网络安全,行业和政府之间应该有一扇旋转门。轮岗项目是确保我们的网络安全人才为经济增长和国家安全做出贡献的很好途径。实施将是关键,但这一命令来的有些晚,但是真正带来了进展。 |
9. HackerOne安全工程师Laurie Mercer:
在过去12个月里,任何一家试图聘请网络安全人才的公司都知道,现在人员安全技能严重短缺。对于那些拥有技能的人来说,这是个好消息,因为美国政府愿意在为有技能的人提供有竞争力的薪酬方面做出更大的努力。
然而,正是由于供需问题,使很多有远见的组织机构转向黑客社区,帮助他们增强安全防御能力。这些组织机构已经意识到,发现在线系统漏洞,他们需要更多的人。这些安全团队能够通过数万名具备不同技能的人员,全年不断进行安全评估,而不是让一两个人每年搜索一两次漏洞。 实际上,很多联邦部门已经通过漏洞奖励计划和竞赛有效地做到了这一点,激励聪明而热情的黑客帮助他们发现系统中的任何漏洞。通过让他们有机会以这种竞争的方式磨练自己的安全技能来支持这个蓬勃发展的社区,为未来的人才库奠定基础,因为今天年轻的黑客将成为明天的CISOs。 |
10. CipherCloud创始人兼执行官Pravin Kothari:
这件事情已经拖得太久了。针对美国的黑客对国家安全构成了巨大威胁,他们的目标包括我们的企业、基础设施、窃取商业机密、干预我们的选举、挑战我们的民主和自由。这是保护美国的一个防御性措施,通过教育和准备来解决网络安全的一个关键问题——劳动力。
这是朝着正确的方向迈出的一步,但还需要做更多的工作,需要大量资金和持续5至10年的投资,这些投资可能会跨越多个政府部门,我们才能看到成效。虽然这一行政命令是朝着正确方向迈出的一步,进一步肯定了网络安全是一个涉及每个人和每个行业的普遍问题,但这只是保护我们国家网络基础设施的开始。 |
总统令原文地址:
https://www.whitehouse.gov/presidential-actions/executive-order-americas-cybersecurity-workforce/
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】