在特朗普宣誓就职美国总统前四天,前总统拜登颁布了任期内最后一道网络安全总统行政令。
这份长达40页的网络安全总统行政令被看作是拜登保护其“数字遗产”的最后一次尝试,但非常不幸的是,这道行政令的生命周期只有四天——在特朗普宣誓就职的当天,拜登的总统令页面被白宫给“404”了(题图)。
特朗普在就职前的公开演说中曾扬言要推翻拜登的“所有愚蠢决策”,随着拜登最后一道总统令的“蒸发”,人们开始担心拜登的“数字遗产”在特朗普任期内会被抛弃或清算,拜登政府精心谋划的网络安全战略的可持续性也被打上了问号。
拜登网络安全遗产的核心:构建数字防御体系
拜登的这道行政令旨在为美国的网络安全奠定坚实基础,涵盖从AI安全应用到加强联邦政府网络监控的一系列措施。要求政府改进网络监控、软件采购、人工智能使用以及惩罚外国黑客的方式;并利用人工智能的安全优势、为美国公民推出数字身份,防御对手国家渗透美国政府系统。
拜登的行政令还强调美国需要通过多层次手段强化网络防御能力,尤其是从最近的重大网络安全事件中汲取教训。例如,SolarWinds黑客事件和中国窃取政府邮件的案例凸显了联邦承包商及云平台安全管理的脆弱性。
指令的核心内容包括以下几个方面:
- 供应链安全:要求软件供应商证明其遵循安全开发实践,并通过网络安全和基础设施安全局(CISA)的验证。
- AI的安全应用:指示能源部和国土安全部启动AI网络防御试点计划,自动化漏洞检测和修复。拜登还希望国土安全部、商务部和国家科学基金会优先研究以下主题:人类和人工智能工具如何协调分析网络威胁数据、如何确保人工智能生成的代码的安全、如何设计安全的人工智能模型、以及如何预防和恢复涉及人工智能系统的网络安全事件。
- 数字身份与云安全:推动数字身份的广泛应用,以简化公民服务并减少浪费和欺诈。并制定关键云平台的认证密钥保护标准。
- 物联网设备与开源软件:规定未来采购的物联网设备需符合网络安全认证,并要求开源软件的安全标准进一步升级。
特朗普上台后的网络安全政策变数
特朗普会全盘接受拜登的网络安全政策和战略吗?以下是几个关键领域的可能变化预测:
1.CISA的命运:扩权还是削弱?
CISA是特朗普第一任期成立的关键基础设施安全管理机构,但在特朗普竞选连任时“反水”(当特朗普质疑选举结果真实性和安全性时,前CISA局长克里斯·克雷布斯发表声明唱反调),因而得到了拜登政府的重用,在拜登总统令中被赋予更大权限,包括直接访问联邦机构的安全平台并进行威胁狩猎活动。
其实不仅是特朗普对CISA心存芥蒂,随着特朗普重返白宫,一些共和党议员和右翼倡导团体主张关闭、废除CISA或大幅减少其选举支持职责。
批评声音最响亮的是肯塔基州共和党参议员兰德·保罗(Rand Paul),他去年11月告诉Politico,他希望取消该机构。他在参议院则表示,希望限制CISA的权力,而不是扩大其权力。
事实上,共和党内部对CISA的态度始终存在分歧。一些议员如兰德·保罗呼吁削弱CISA的选举相关工作,而其他人则支持加强CISA的关键基础设施保护能力。
上周三,即将离任的CISA局长詹·伊斯特利(Jen Easterly)撰文称希望该局在特朗普任内继续开展与选举相关的工作。她表示,CISA与情报界合作,在2024年总统大选前迅速分析和解密来自俄罗斯、中国和伊朗的外国影响活动,取得了“令人难以置信的成功”。
但是,对于更看重政治“人设”的特朗普,CISA的选举支持职能大概率会被砍掉,但在关键基础设施领域,CISA或许会获得更高的预算和技术支持。(伊斯特利的文章还强调中国对美国关键基础设施,例如水利、交通和电信系统构成的日益严重的威胁,并重申了过去关于中国正在渗透民用基础设施的警告。)
2.是否设立网络部队?
特朗普的竞选纲领虽然提到了网络安全的重要性,但未对网络部队的设立作出明确表态。考虑到网络战在未来冲突中的重要性,他可能借助网络部队加强美国对外攻击和防御能力。
这一可能性特别适用于美国对中国、俄罗斯等对手国家的网络战策略。特朗普或将推动更具进攻性的政策,例如扩大情报机构和国防部在网络空间的主动行动能力,同时利用制裁和惩罚机制遏制外国黑客活动。
拜登政府指令中的云安全和供应链保护直接针对中国的网络威胁,特朗普可能加强这些领域的防御。此外,针对中国关键技术领域的网络间谍活动和经济制裁或将加剧。
特朗普与俄罗斯关系复杂,但近年来俄罗斯的网络干预活动愈发猖獗。特朗普可能采取更直接的进攻性防御策略,同时通过外交努力缓解双边紧张局势。
3.对AI和技术标准的态度
拜登总统令中涉及AI的应用和AI安全研究,特朗普的技术政策可能在这一领域更倾向于市场化发展。考虑到其一贯对监管的不满,特朗普可能减少对AI研究的联邦资助,将重点转移到军事和情报领域的AI应用。
此外,关于开源软件与量子加密的技术标准,特朗普可能采取更灵活但分散的政策,给予私营企业更大自主权,但在国家安全相关领域保持严格控制。
特朗普时代的安全政策不确定性与风险
如果特朗普大幅调整甚至抛弃拜登的网络安全政策,美国的数字防御体系可能面临以下风险:
- 政策连续性不足:新政策可能难以及时填补拜登政策的空白,给对手国家制造网络攻击的机会。
- 国际协调受挫:特朗普对多边合作的态度可能影响美国与盟友在网络安全领域的协调,削弱整体防御能力。
- 私营部门影响力扩大:如果放松对企业的网络安全要求,美国供应链安全和数据保护能力可能进一步削弱。
总结:特朗普的破与立
拜登的网络安全总统令为美国的数字化未来设定了蓝图,但其延续性在特朗普上台后将受到重大考验。特朗普的政策或许更关注快速成果,而非系统化改革。这种风格可能导致政策短视,但也可能在一些关键领域(如网络部队与对外策略)带来突破性进展。
在网络战威胁不断增长的背景下,白宫会试图在政策连续性与创新之间重新找到平衡,确保自身在数字竞争中的领先地位。总之,无论特朗普如何调整拜登的政策,他都需要面对一个不可回避的事实:网络安全已成为国家安全的核心议题。
