blog

更多的钱并不能保证网络安全竞赛的成功

<p>在接下来的四年里,澳大利亚联邦政府将投资超过2.3亿澳元用于网络安全换句话说,每年将从联邦预算的一部分中获得5.75亿澳元,而不是用于网络安全政府期待已久的网络安全战略没有详细说明如何将这些资金用于战略中包含的“五个行动主题”但是这些信息可以从其他来源中获得</p><p>预计将花费3.88亿澳元用于重新安置同一个澳大利亚网络安全中心</p><p>网络安全战略最初是在两年前宣布的其他大型项目,未在战略文件中详述但在其他地方报告,每年包括5300万澳元用于增加澳大利亚计算机应急响应小组的能力,每年1.18亿澳元用于建立联合网络威胁共享中心和在线威胁共享门户,以及7600万澳元用于创建国家网络安全创新为了提高政府的情报和调查能力,澳大利亚联邦警察局每年将获得5100万澳元和澳大利亚犯罪委员会额外的400万澳元</p><p>有些人将澳大利亚的网络安全战略称为“成熟和细致入微”,并将其与之相比较我们最亲密的盟友需要进行更仔细的检查在美国,例如,没有统一的国家战略相反,存在一系列计划,包括网络安全国家行动计划,网络安全战略和实施计划(CSIP),综合国家网络安全倡议,以及国防部的网络战略等等这反映了在美国各地分配网络安全政策责任的分散方式澳大利亚和美国之间的支出差异很大2017年美国联邦预算要求中,要求网络安全超过190亿美元,代表更多比上一年增加35%美国因此每人每年花费4348美元,而澳大利亚计划每人每年花费250澳元(192美元)</p><p>简单地比较两个国家之间的总支出并不等于这种支出的有效性</p><p>这是因为有效性因国家之间的不同方案设计和实施而有所不同但是,对于年度国内生产总值是澳大利亚(当前市场价格)10倍的国家,以及比澳大利亚大13倍的人口,是一个巨大的差异澳大利亚战略中的许多想法来自美国,特别是综合国家网络安全倡议澳大利亚的计划要求协调公共和私人研发资金,连接研究中心和扩大教育澳大利亚将有一个新的“网络大使”,类似于Departme网络问题协调员的角色国家重点过去一年的重点是网络安全信息共享法案(或CISA),该法案允许公共和私人组织之间就网络安全威胁进行更多信息共享</p><p>因此,信息共享在澳大利亚战略中占据重要地位如果我们知道这些计划是否有效,那就没问题</p><p>问题在于,几乎没有一项美国计划或战略真正得到过评估我们只是不知道在过去十年中花费了数百亿美元的效果如何</p><p>例如美国国土安全部(DHS)运营一个名为EINSTEIN的威胁检测系统当政府问责办公室在2016年1月评估了价值60亿美元的计划时,它发现“没有(由DHS制定的指标)提供了对所得价值的深入了解从系统的功能“最后,网络攻击的威胁和他们可能带来的经济损失并不为人所知这是有充分理由的认为我们在网络安全方面的花费比我们因攻击而损失的更多澳大利亚战略明确要求进行分析,以便为这些问题提供更好的答案</p><p>这些基础问题的答案缺失使得很难确定是否资金过多或过少正在分配以应对风险以及如何分配资金 政策制定者如此关注网络安全,为什么这些策略都没有试图解决问题的根本原因</p><p>例如,包含漏洞的软件继续被推向市场,这些产品的用户面临增加和不必要的风险通过公共政策改善网络安全的更具成本效益的方法将寻求激励公司在将产品运送到市场之前制作更安全的产品这是为了提高60年代汽车的安全性 - 通过对汽车制造商施加产品责任而取而代之的是,提供的策略表明世界各国政府打算继续升级黑客军备竞赛尽管明确意图“积极推动开放,自由,安全的网络空间“,澳大利亚战略中最具启发性的段落涉及通过使用攻击性网络能力来”阻止和应对恶意网络活动“的意图美国国防部同样公开表明其意图去年在其网络战略中使用攻击性能力因此,这场军备竞赛将继续升级从而降低了网络空间的开放性,自由性和安全性受到这些攻击或陷入这些攻击的公司和个人将继续成为附带损害令人震惊的是,网络安全局势在过去五年中的发展速度如此之快改变并没有减缓这些策略的正确需要识别和纠正网络安全政策中的矛盾这反过来要求项目评估确定哪些有效,什么没有</p><p>当五年时间宣布另一项审查时,这将是好的能够回答这些问题,这是我们仍然无法做到的事情,

查看所有