在當?shù)貢r間6月10日舉行的參議院確認聽證會上，對英格利斯（Chris Inglis）和伊斯特利（Jen Easterly）將如何處理這些緊迫問題有了最深入的了解。提名者稱勒索軟件是威脅國家安全的“禍患”，誓言要與關(guān)鍵的基礎(chǔ)設施公司合作，提高它們的防御能力，并呼吁，有必要制定額外的聯(lián)邦法規(guī)，以激勵公司減少它們在黑客攻擊方面的弱點。

　　兩個月前，美國總統(tǒng)喬？拜登（Joe Biden）宣布了他的兩項最重要的參議院網(wǎng)絡安全職位提名：國土安全部（Department of Homeland Security）網(wǎng)絡安全部門負責人珍？伊斯特利和國家網(wǎng)絡總監(jiān)克里斯？英格利斯。

　　英格利斯和伊斯特利是兩名經(jīng)驗豐富的國家安全局（National Security Agency）資深官員，如果得到確認，他們面臨著艱巨的任務。

　　打擊勒索軟件攻擊

　　在此期間，勒索軟件攻擊迫使美國的一條主要輸油管道和一家大型肉類供應商暫時關(guān)閉。拜登已經(jīng)暗示，他將在下周與俄羅斯總統(tǒng)普京（Vladimir Putin）會晤時提出窩藏黑客犯罪的問題。

　　英格利斯說，美國政府必須“奪回主動權(quán)，這一主動權(quán)已經(jīng)被犯罪分子和流氓國家占據(jù)太久了，而這些國家主導了實施犯罪的時間和方式?！彼粲趺绹捌涿擞选按輾Вɡ账鬈浖锓傅模┍幼o所，并讓那些威脅我們的人承擔后果?！?/p>

　　伊斯特利也以類似的緊迫感說：“我們現(xiàn)在處于這樣一個境地：民族國家和非民族國家的威脅行為者在很大程度上利用網(wǎng)絡空間威脅我們的隱私、我們的安全和我們的基礎(chǔ)設施，而不受懲罰?！?/p>

　　英格利斯將成為美國國歷史上首位國家網(wǎng)絡總監(jiān)，這是國會授權(quán)的一個新崗位，旨在讓政府更好地應對包括勒索軟件攻擊在內(nèi)的重大黑客攻擊。伊斯特利將接管國土安全部的網(wǎng)絡安全和基礎(chǔ)設施安全局（Cybersecurity and Infrastructure Security Agency，簡稱CISA），該機構(gòu)不僅負責保護聯(lián)邦民用網(wǎng)絡免受勒索軟件的侵害，還負責保護聯(lián)邦民用網(wǎng)絡免受間諜活動的侵害，比如據(jù)稱俄羅斯利用SolarWinds軟件進行的間諜活動。

　　這兩人將與愿意增加網(wǎng)絡安全支出的國會合作。

　　眾議院將為CISA的2022年預算提供4億美元的額外資金。白宮在2022財政年度為CISA申請的可自由支配資金總額為21億美元。

　　從醫(yī)療保健到制造業(yè)，接連不斷的勒索軟件事件讓許多公司舉步維艱，要想阻止這些事件的發(fā)生，需要的不僅僅是金錢。據(jù)追蹤虛擬支付的Chainalysis公司稱，2020年，受害者支付的加密貨幣勒索軟件金額增長了311%，達到近3.5億美元。

　　colonial管道公司和肉類加工公司JBS分別向勒索黑客支付了440萬美元和1100萬美元，以挽回他們受到的勒索軟件攻擊。這引發(fā)了美國國會的批評，認為企業(yè)助長了沒有減弱跡象的犯罪經(jīng)濟。

　　當被要求就這個問題發(fā)表意見時，英格利斯告訴議員們，重要的不是要追究那些支付贖金的公司的責任，而是要追究那些一開始就不得不支付贖金的公司的責任，要追究他們沒有做好網(wǎng)絡安全的充足準備。

　　他將勒索軟件比作一場可以控制而不能撲滅的火災。

　　英格利斯說：“我們需要做的是讓這些系統(tǒng)抗得住攻擊?！薄八麄冇肋h不會安全?！?/p>

　　英格利斯補充說，通過實施基本的安全實踐，如多因素認證、軟件補丁和網(wǎng)絡分隔，安全人員可以化解絕大多數(shù)的威脅。伊斯特利表示，CISA的職責是通過提供技術(shù)指導和威脅信息，“防止人們陷入”不得不支付贖金的境地。

　　colonial管道公司遭黑客攻擊后，美國運輸安全管理局（Transportation Security Administration）首次要求管道運營商滿足強制性的網(wǎng)絡安全要求。管道運營商被要求在檢測到黑客攻擊事件后12小時內(nèi)向CISA報告，如果不遵守安全準則，將面臨7000美元（約合人民幣6700元）的罰款。

　　管道法規(guī)是對能源行業(yè)的監(jiān)管，一些立法者和政府官員想知道是否有必要出臺更多的監(jiān)管規(guī)定。

　　伊斯特利表示，在促使關(guān)鍵基礎(chǔ)設施公司提供充分的網(wǎng)絡安全保護方面，顯然“自愿標準可能無法完成工作”。

　　她補充說：“可能會有某種作用，使其中一些標準成為強制性的，包括通知?！薄拔艺J為重要的是，如果發(fā)生重大的網(wǎng)絡事件，關(guān)鍵的基礎(chǔ)設施公司必須通知聯(lián)邦政府，特別是CISA。我們必須能夠警告其他潛在的受害者。”

　　英格利斯對此表示贊同。

　　他說：“當（私營企業(yè)）進行關(guān)乎國家利益的關(guān)鍵活動時，我們很可能需要介入，我們需要像我們對航空業(yè)和汽車業(yè)所做的那樣，進行監(jiān)管或授權(quán)?！?/p>

　　國家網(wǎng)絡總監(jiān)的“教練”角色

　　在解釋她如何看待CISA局長與國家網(wǎng)絡總監(jiān)合作時，伊斯特利表示，她認為CISA是國家網(wǎng)絡應對的“四分衛(wèi)”，而英格利斯將在確保國家免受網(wǎng)絡威脅方面擔任“教練”。

　　伊斯特利在聽證會上表示：“我認為國家網(wǎng)絡總監(jiān)是一個關(guān)鍵的合作伙伴，基本上是負責監(jiān)督網(wǎng)絡戰(zhàn)略和政策實施的團隊的教練，并真正為聯(lián)邦網(wǎng)絡生態(tài)系統(tǒng)帶來連貫性和團結(jié)的努力?！?/p>

　　英格利斯認同這一觀點，在面對如何更好地保護自己免受更廣泛的網(wǎng)絡攻擊的問題時，英格利斯說，國家需要創(chuàng)造更大的應變能力，因為網(wǎng)絡攻擊不會“自動停止”。

　　他說：“這并不是一場席卷草原的大火，一旦消耗了燃料，它就會停止燃燒，我們只需等待那一刻。我們必須站出來?！庇⒏窭拐f?！拔覀儽仨毑粌H在技術(shù)上，而且在人身上創(chuàng)造彈性和健壯性。我們必須使行動與后果相一致；行為良好應該有好處，行為不良應該有負面后果?！?/p>

　　英格利斯再次強調(diào)了合作的重要性，不僅是在公共和私營部門，而且是在國際上。

　　“我們應該讓這不僅僅是一個網(wǎng)絡上的網(wǎng)絡問題，”英格利斯說?！拔覀儜撘砸环N巨大的合作方式來承載所有的權(quán)力工具，不僅是私人和公共部門，而且是國家的多元化?！敝救は嗤兜膰倚枰P除庇護所，并讓那些將我們置于危險之中的人承擔后果。“

　　2021年NDAA規(guī)定了國家總監(jiān)的幾項具體職責，包括：

　　領(lǐng)導聯(lián)邦政府在網(wǎng)絡問題上的統(tǒng)一努力；

　　制定和實施國家網(wǎng)絡戰(zhàn)略；

　　協(xié)調(diào)聯(lián)邦民用預算、政策和計劃；

　　促進公私協(xié)作；

　　提高網(wǎng)絡系統(tǒng)的彈性、健壯性和防御能力。

　　CISA的”四分衛(wèi)“角色

　　伊斯特利說，如果得到確認，她將把重點放在幾個方面，包括”確保我們有執(zhí)行任務的能力“，包括足夠的資金和權(quán)力，但”主要是人“。其他主要關(guān)注領(lǐng)域?qū)ù_保CISA擁有”所需的操作和技術(shù)可見性“，以及取得成功的”正確的伙伴關(guān)系“。

　　伊斯特利還將CISA局長定位為聯(lián)邦網(wǎng)絡安全領(lǐng)域的”四分衛(wèi)“角色，其首要職責是管理和降低風險，并與各級政府和私營部門合作，確保關(guān)鍵基礎(chǔ)設施的安全性和彈性。

　　”在聯(lián)邦網(wǎng)絡生態(tài)系統(tǒng)中，CISA是‘四分衛(wèi)’，負責保護和保衛(wèi)聯(lián)邦民用政府網(wǎng)絡；主導網(wǎng)絡事件資產(chǎn)響應；并確保及時和可行的信息在聯(lián)邦、非聯(lián)邦和行業(yè)伙伴之間共享，“她說道。

　　”然而，最好的“四分衛(wèi)”不能獨自贏得比賽；伊斯特利說：“網(wǎng)絡行動是而且必須永遠是一項團隊運動。”“CISA與政府各級其他機構(gòu)以及我們的行業(yè)和國際合作伙伴合作，在國家網(wǎng)絡和基礎(chǔ)設施恢復方面發(fā)揮主導作用。這個生態(tài)系統(tǒng)的一個關(guān)鍵因素是國家網(wǎng)絡總監(jiān)，作為總統(tǒng)的首席網(wǎng)絡顧問，他將確保聯(lián)邦政府的努力連貫一致，”她說。