美國網絡安全負責人試圖讓美國人信任選舉 - 彭博社

Katrina Manson

2024-11-01

詹·伊斯特利在2月7日的基輔國際網絡韌性論壇上發表演講。

攝影師：弗拉基米爾·什坦科/阿納多盧/Getty Images

作為網絡安全和基礎設施安全局的局長，詹·伊斯特利幫助保護選舉基礎設施免受黑客攻擊、暴力和旨在激起不信任的惡意指控。

然而，她工作中最具挑戰性的部分可能是在週二之後開始，當時伊斯特利可能需要説服一個懷疑和分裂的選民，認為投票結果是合法的。類似的説法使她的前任克里斯·克雷布斯在2020年選舉後被解僱，並且，他曾表示，這導致了死亡威脅。

今天，儘管伊斯特利表示美國的選舉系統“從未如此安全”，但沿着黨派的懷疑只增不減：根據蓋洛普的調查，選民對選舉過程的信任在共和黨人中驟降至28%，而在民主黨人中則為84%。

所有這些都讓伊斯特利在一個緊張的政治時刻處於風口浪尖。在她領導美國網絡防禦機構的角色中，她努力贏得其他政府機構和私營部門公司的信任。現在，她必須對一個更加動盪的選民羣體做到同樣的事情：美國選民。

自從Easterly接管以來，CISA的年度預算增長了近三分之一，接近30億美元。攝影師：Ben Curtis/APEasterly是一位前軍官，她可以在背後解魔方，並在她的吉他上彈奏網絡安全建議，2021年她接管了美國最新的機構，三年後國會簽署了該機構的成立。經歷過西點軍校、白宮以及在伊拉克和阿富汗的戰時巡演，她的最新角色是領導一個許多人認為不可能完成的任務。

CISA並不負責美國的選舉——這屬於8000多個獨立的管轄區和認證它們的州——但它提供支持給地方和州官員，提供資金、人員、技術知識和外聯。此外，它還負責幫助保護包括能源、水和醫療保健在內的16個關鍵領域，並與聯邦機構合作。然而，儘管其職責廣泛，CISA幾乎沒有監管權力。

閲讀更多：特朗普堅稱自己是明確的領先者，在視頻中播下懷疑的種子

“我們在很大程度上是一個自願機構，”伊斯特利在一次又一次的演講中説道。這是有意為之：國會設立CISA作為政府與監管重要基礎設施的企業之間的中介。這是一項艱鉅的任務，其使命因協調挑戰和資源有限而進一步受到限制。手中工具如此之少，伊斯特利已個性化了她的外聯——並在這個過程中成為了一位小有名氣的名人。

“我希望CISA成為世界上最好的機構，”她在2022年一次黑客大會上説道，聽眾中包括幾位星光熠熠的程序員。在次年的同一活動中，她與其他演講者一起喝了一杯，然後在舞台上喝啤酒，同時講述網絡威脅的複雜歷史。

“自從她還是學員時就一直在挑戰體制，”道格拉斯·盧特説，他是前美國駐北約大使，也是她的前軍隊同事，自認為是朋友。

她的非傳統方法取得了一些勝利。自從伊斯特利接管以來，CISA的年度預算增長了近三分之一，接近30億美元。該機構的員工人數現在超過3300人，其中約一半是伊斯特利引進的。她專注於從代表性不足的羣體中招聘，特別是女性，並優先考慮工作場所的心理健康。隨着她逐漸適應這份工作，她也變得更加直言不諱，敦促科技公司對保護其代碼承擔更多責任。

隨着網絡威脅的增加，白宮去年發佈了一項新的網絡安全戰略，旨在對與關鍵行業相關的公司施加最低安全標準，並使軟件供應商對發佈不良代碼負責。但這是一項依賴國會支持的長期計劃。批評者表示，美國在這方面起步較晚，目前，CISA必須在很大程度上依靠善意來保護國家一些最重要的基礎設施。

在2023年紐約“編程女孩”十週年慶祝活動上，Easterly。攝影師：Madison McGaw/BFA.com/Shutterstock在Easterly滿50歲的時候，她紋了一個紋身。在經歷了數十年的軍事和政府服務後，她離開了國家安全局，開始在紐約的摩根士丹利工作。她在接受彭博社採訪時表示，她最終決定過上真實的生活，並補充説，“當你是，嗯，你知道的，Easterly中校或其他什麼的時候，這很難。”環繞她左手腕的紋身，致敬於日本的生存哲學“生き甲斐”（Ikigai），鼓勵追求目標和快樂，成為她新承諾的象徵。

對於Easterly來説，這是一個激進的舉動，她在成長過程中聽着父親講述越南戰爭的故事，父親是一位前尼克松演講撰稿人和高級五角大樓官員。她於1986年入學西點軍校，並在艱苦的時光中堅持下來，部分原因是害怕讓父親失望。

“我一直對自己非常非常苛刻，”伊斯特利説。

她到達CISA後面臨的第一個挑戰之一是重新激活一個資源不足、缺乏領導的工作場所，“相當疲憊。”他們剛剛經歷了Covid、2020年選舉，並經歷了一系列重大黑客攻擊。該機構的首任主任克雷布斯在為選舉結果的可靠性擔保後幾個月前被時任總統唐納德·特朗普解僱。伊斯特利在NSA工作時，前承包商愛德華·斯諾登關於大規模監控的揭露使該機構成為了眾矢之的，她有自己扭轉局面的方式。

在公眾面前，她讓自己成為了該組織的面孔。這種做法部分是戰術性的——“人們不信任機構；他們信任人，”她觀察到——但這也反映了她的信念，即贏得信任歸結為“對你自己和對你重要的事情非常誠實。”伊斯特利公開分享了她在西點軍校的掙扎以及她弟弟自殺的經歷。

在個人層面上，伊斯特利相信她的新思維方式正在奏效。她在去年在匹茲堡的一次採訪中表示，她正在成為一個“更舒適”的人。“希望，”通過學會對自己寬容一些，她最終也能對他人寬容一些，她説。

這條評論暗示了她作為經理所遇到的挑戰。Easterly相信在工作中要全心投入，她表示自己一直在努力提高自我意識，並改善情緒管理。“隨着你越來越高級，你必須小心，因為有時候你所説的每一句話或你給出的一個眼神都可能傳達出很多意義，”她反思道。

與此同時，她在其他方面也加強了自己的方法。在私營部門，她推動將網絡安全的責任從消費者轉回到董事會，並施壓大型科技公司修補其安全漏洞。特別是一家公司經常成為這些努力的中心：微軟，這個國家的網絡安全巨頭。

Easterly最初採取了謹慎的態度，但她對微軟的指責在2023年逐漸變得更加明顯。在那年的2月，她在一次公開演講中將微軟的安全協議與蘋果的進行不利比較，作為對大型科技公司提供不安全產品的強烈抨擊的一部分。到8月，她開始暗示微軟應該“重新捕捉”公司聯合創始人比爾·蓋茨所稱的“值得信賴的計算”精神。

然後，在4月，她的機構發佈了她後來形容為 “令人震驚的”報告，揭示了該公司安全性鬆懈的問題。緊接着的下個月，微軟宣佈進行全面改革。它將把安全放在首位，甚至將獎金與進展掛鈎。

微軟並不是Easterly推動的唯一公司：她半開玩笑地表示她想要讓整個網絡安全行業關門大吉，稱其存在的原因僅僅是因為供應商繼續銷售舊的和不安全的代碼。“軟件漏洞”應該更好地被稱為“產品缺陷，”她表示。

雖然大科技公司在理論上現在願意合作——自八月以來，她説服了近200家公司，包括亞馬遜網絡服務、谷歌和微軟，簽署承諾，承諾設計更安全的軟件——但由於沒有能力強制執行她的要求，Easterly是否能夠引導出比口頭承諾更多的行動仍然懸而未決。

與此同時，她的上司警告説沒有時間可以浪費。

亞歷杭德羅·馬約卡斯在10月1日的白宮。攝影師：尤里·格里帕斯/阿巴卡/彭博社在二月份的慕尼黑網絡安全會議上，國土安全部部長亞歷杭德羅·馬約卡斯表示，快速演變的網絡威脅需要“監管和個人責任”，並隨後提到對多年自願策略失敗的“擔憂”。他的警告在那段時間內得到了重大網絡攻擊的加強，這些攻擊癱瘓了經濟關鍵領域的關鍵節點：一個對許多大銀行至關重要的軟件系統，以及一個將醫療提供者和藥店與保險公司連接的公司。這些攻擊對華爾街造成了嚴重破壞，並在美國醫療系統中引發了連鎖反應，這兩個領域是16個關鍵領域之一。

CISA的部分任務是識別在這些行業中處於關鍵瓶頸的企業。根據一位不願透露姓名的美國網絡問題官員的説法，該機構尚未有效地做到這一點，並補充説這有可能使其變得無關緊要。

該機構表示，正在通過制定一份非公開的約500家公司名單來部分解決此問題，計劃為這些公司提供額外資源，更加密切關注，並——理想情況下——要求其遵循更高的網絡安全標準。CISA國家風險管理中心的助理主任莫娜·哈林頓在3月份給彭博社的電子郵件聲明中表示，該機構正在“進行進一步分析”，以確定如果被切斷可能產生連鎖反應的瓶頸。CISA拒絕對此後的進展發表評論。

這些都未能完全滿足國防民主基金會網絡與技術創新中心的高級主任馬克·蒙哥馬利的期望。他表示，美國需要為這500家公司建立最低網絡安全標準，同時給予他們某種激勵，例如額外的情報。他補充説，醫療保健和銀行黑客攻擊的廣泛影響是“明顯的證據”，證明存在顯著的單點故障。

蒙哥馬利是CISA的長期支持者。他認為，伊斯特利在微軟方面做得“很好”，但在支持其他政府部門的網絡安全和與私營部門合作方面，該機構的表現“不一致”。監察長報告突顯了CISA在處理大壩、能源和水行業以及在檢測和修復網絡入侵方面的弱點。蒙哥馬利表示，該機構負擔過重，面臨太多競爭的首要優先事項。他將這一問題的責任歸咎於國會，而不是伊斯特利。

在一份電子郵件聲明中，梅約卡斯對伊斯特利表示讚賞，稱其“在推動我們國家的網絡安全方面與私營部門建立了前所未有的合作關係”，並表示她“將CISA帶到了新的高度”。

CISA在數百個案例中警告公司即將發生的網絡攻擊，並協助進行威脅狩獵和事件響應，但根據官員和顧問的説法，這個年輕的機構仍然任重道遠。伊斯特利的寵兒項目，一個於2021年啓動的協作網絡安全平台，名為JCDC——這是對她最喜歡的搖滾樂隊AC/DC的致敬——在八月份時，負責該項目的官員承認它遭遇了“成長的煩惱。”該顧問委員會建議，儘管擁有超過340個成員並逐漸建立起優先考慮政策討論而非行動的聲譽，但它應該更加關注主動應對事件。

但在CISA和國家面臨的最緊迫問題上，伊斯特利取得了更多成功。隨着提前投票的進行，伊斯特利大聲宣稱國家的投票系統已做好準備並具備韌性。所有50個州都已註冊使用CISA資助的選舉基礎設施信息共享與分析中心（EI-ISAC）提供的免費網絡安全工具，該機構還任命了十位地區選舉安全顧問，並在過去一年中進行了大規模的選舉安全演練。

儘管“威脅和挑戰遠遠超過選舉官員和管理者幾十年來所面臨的任何情況，”她在上個月底特律的一次會議上表示，“選舉基礎設施從未如此安全。”

與此同時，儘管EI-ISAC擁有超過3,800個成員組織，但仍遠未代表超過8,000個選舉管轄區的總數。該組織的副總裁Marci Andino表示，她仍然聽到一些地方選舉官員表示他們不信任聯邦政府。這就是Easterly如此渴望放大前線選舉工作人員聲音的原因之一：因為社區中的人們認識他們。

Easterly在2023年華盛頓特區國家秘書協會冬季會議上發言後。攝影師：Patrick Semansky/AP這是一場微妙的舞蹈——而且最困難的階段可能在前方。Easterly警告説，壞演員可能會試圖在選票計數和審計時破壞對投票的信心，提到由俄羅斯、伊朗和中國主導的影響操作。但在CISA的YouTube頻道上的一段視頻中，她還表示，最大的危險並不總是來自國外。討論2020年後出現的物理威脅時，Easterly表示，這些威脅“在很大程度上”源於毫無根據的主張，即結果並不代表美國人民的意願。

Easterly對所有可能出錯的情況持現實態度。但最重要的是，她希望選民為等待遊戲做好準備。她警告説，可能需要“幾天到幾周”才能知道選舉的最終結果，並且在此期間謠言可能會大量出現。如果是這樣，美國的未來可能會取決於她最喜歡的、難以獲得的商品：信任。