詹姆斯·亚当斯的证词 介绍 汤普森主席,雷伯曼高级成员,委员会的各位成员,早上好,感谢你们邀请我参加这个杰出的小组。我叫詹姆斯·亚当斯,是国防基础设施公司(iDEFENSE)的首席执行官。
通过简单的背景介绍,iDEFENSE提供智能驱动的产品——每日报告、咨询和认证,使客户能够在计算机网络、互联网和信息资产攻击发生之前减轻或避免攻击。ReportsReports例如,iDEFENSE开始警告其客户分布式拒绝服务攻击的可能性,这类黑客活动目前占据了全球的头条新闻——早在去年10月和11月。 首先,我要赞扬汤普森参议员和利伯曼参议员以及他们各自的工作人员,为联邦政府在计算机安全领域制定了如此深思熟虑和迫切需要的立法。我们目前正在经历一场革命,即信息革命,这要求我们在确保网络空间安全方面采取戏剧性和大胆的步骤。旧的做生意方式已经行不通了。 正是在这样的背景下,汤普森-利伯曼法案向前迈出了关键的一步。通过改变目前困扰联邦政府的懒散和惰性文化,该法案提议对OMB在计算机安全问题上的监督施加影响,是朝着正确方向迈出的坚实一步。金博宝正规网址
为什么这很重要? 很少有革命是不流血而完成的。当我们一头冲进知识时代,并且极度缺乏准备时,我们已经开始收到来自技术革命前线的最初伤亡报告,并亲眼目睹了网络威胁,如果让这些威胁完全成熟,可能会对社会造成可怕的破坏。ReportsReports 正在进行的拒绝服务攻击活动包括一些家喻户晓的电子商务公司,微软、雅虎、eBay、亚马逊、CNN、ZDNet和E*Trade。相对较新的公司Buy.com在首次公开募股(ipo)当天就遭到了攻击,Datek Online Holdings Corp.等其他规模较小的公司也遇到了问题,这些问题可能与攻击有关。目标网站在其服务器上的点击率高达每秒1gb,一般公众在30分钟到几个小时内无法访问。
从标题上看,你可能会认为这些攻击预示着我们所知的网络世界的终结。事实远非如此。这些对电子商务来说只是小问题。想想看,大约有30个国家都有攻击性的信息战项目,所有这些项目都牢牢地把美国放在了他们的视野中。来考虑,如果你买一块硬件或软件从数个国家,其中包括我们的一些盟友,有真正关心你会购买了设备,将虹吸副本的所有材料,通过硬件或软件的国家生产。 今天的黑客不再是那种因为得不到约会而对世界怀恨在心的老套电脑怪胎。而且,并不是每一次成功的黑客行为都像最近的一次事件那样幼稚。那次事件中,自封的“下载大师”(Masters of Downloading)入侵了美国参议院的官方网站,把首页换成了一条声明:“去你的家伙们! 今天的黑客更有可能受雇于政府、大企业或有组织犯罪。而未来的黑客将会是所有这些以及被剥夺了21人权利的人圣他们将诉诸虚拟空间进行恐怖主义行动,其效果远比我们在20世纪看到的阿玛莱特(Armalite)或塞姆汀(Semtex)炸弹更有效th世纪。 过去两年里,俄罗斯黑客团伙在美国情报部门代号为“月光迷宫”(Moonlight Maze)的行动中,从美国企业和政府实体那里窃取了大量研发机密。这些被盗信息的价值在数千万甚至数亿欧元之间;真的没办法知道。这些信息通过互联网运到莫斯科,卖给出价最高的人。 幸运的是,美国政府机构发现了这一威胁。不幸的是,这些信息并没有传递给那些本可以有所帮助的私人机构。无论是政府还是工业界,对关键基础设施所面临的威胁的认识还只是刚刚起步。 所有这些攻击、错误和上帝的明显行为都需要非常仔细地研究。因为它们定义了正穿过我们非常脆弱的经济、政府和企业盔甲的威胁阵线。 这些是我们共同面临的问题,公共部门和私营部门在技术革命中面临的问题。所以最大的问题是,谁来解决这些问题?政府?私人企业?还是两个人一起工作?或者这些问题会得到解决吗? 到目前为止,政府是如何应对的?嗯,有一个通常的主席委员会,然后是主席工作组,然后是没有人真正想要的官僚妥协,然后是7个月后送来的国家计划,它根本不是一个计划,而是邀请我们进行更多的讨论。与此同时,政府在它所有的庄严中继续前进,就像革命没有发生一样。七个月前,我的公司赢得了一个政府机构的重要合同,提供急需的情报。钱分配好了,文书工作也完成了。然而,它仍陷在官僚地狱的泥潭中,显然无法脱身。与此同时,同一政府机构每天都受到网络攻击。这不是一场革命。一切照旧。 另一个政府机构正试图改革其采购流程,以跟上革命的步伐。他们正在自豪地谈论将采购时间减少到两年以下。换句话说,当新设备到位时,互联网革命已经进行了八年。在我的公司,如果我不能在90天内建立起一个革命性的新系统,我就不想要它。 对我来说,这意味着威胁正在迅速增长,一个基本上惰性的政府迄今未能应对挑战,必须做更多的事情。这确实很重要,因为这不仅仅是一台新电脑是否能工作,一个网站是否被黑。在民主国家,被统治者和他们的政府之间的关系岌岌可危。的确事关重大。 因此,我欢迎汤普森-利伯曼法案,认为这是参议院努力控制和推动这一进程的良好的第一步,这一进程将使革命加速。然而,我认为,为了有效应对技术革命,这一建议必须得到大力加强。 要解决困扰我们国家和企业的问题,需要的远不止创可贴。我们说的不是石膏和夹板,甚至不是器官移植。我们谈论的是离开旧的身体,进入一个新的身体。我说的是开始对我们的文化、政治和经济进程和制度做出巨大的改变,这些改变甚至会使工业革命带来的改变相形见绌。 我们需要的是一个有实权的外部实体,来对政府处理技术和系统底层安全的方式进行重大变革。目前,司法管辖权的争执、采购问题和一系列其他问题严重阻碍了政府跟上信息革命的快速步伐。金博宝正规网址汤普森-利伯曼法案提供了一个框架,开始整理这一混乱局面。 然而,最需要的是一个人或一个实体,它将在许多领域利用与CIO、CFO、CSO和大多数其他官员或实体重叠的技能集。让我们授予这位新人“业务保证主管”的头衔吧。或者可能是商业保证办公室直接联系到联邦政府。 这个新的缩写词应该是对当前需求的回应。在某种程度上,这反映在始于信息革命之初的辩论中,这场辩论导致许多公司和政府内部任命首席信息官。但是Business Assurance不仅仅是安全,不仅仅是技术,也不仅仅是两者的结合。它是对整个环境的理解,以及这对企业或公共部门运营意味着什么。 OBA的任务是不断收集和综合基础设施相关的趋势和事件,智能地评估组织运作的技术环境,识别和评估潜在的威胁,然后提出防御行动建议。或者,从积极的方面来看,评估技术革命的机会并提出有效的进攻策略。 业务保证办公室必须是一个完全独立的组织,在政府内部拥有真正的牙齿和权力。那些有远见地创建和适当地配备这一职位的组织将无可估量地更有能力应对现在刚刚开始对我们的政府、工业、经济和文化产生冲击的变革浪潮。
当谈到技术革命带来的挑战和机遇时,政府和行业之间有很多共同之处。这两个部门都面临着共同的威胁,从破坏公物的黑客和犯罪分子,到外国特工和自然灾害。这两个部门都有共同的目标,为美国及其人民谋福利。两者都采用了本质上相同的技术。双方必须共同努力,保护彼此。 我的公司,基础设施防御,开创了一种主要针对私营部门的基础设施保护方法。然而,许多原则,例如价值链分析和威胁分析,都可以直接转移到政府组织。这两个领域的差距并没有那么大。 有了共同的问题和目标,就有机会找到共同的解决方案。其中最重要的一点是,我认为无论是私营部门还是公共部门都还没有接受,那就是每个组织都需要纳入风险缓解过程。第二项重点是在所有部门建立一个全面的网络威胁和对策信息共享系统。我们不能允许重要信息在特定的公共或私人实体内停滞不前。技术变革的快速步伐要求相应的强有力的反应机制。在联邦政府对日益增长的网络威胁作出回应之际,我敦促本委员会支持这一重要问题。 结论 我留给你们一个想法。你将看到企业和政府在内部和外部运作方式的彻底转变。如果不能改变以应对这些新挑战,就有可能面临所有革命带来的破坏。积极的行动是生存之道。
近几个月来,我们已经听到了很多关于计算机已拥有和计算机未拥有之间可能出现的数字鸿沟的说法。我相信,在美国政府和公民之间,还有另一个数字鸿沟正在扩大。如果该委员会的努力不能在改变惯性文化方面取得进展,政府和私营部门之间存在的数字鸿沟将会进一步扩大。我们不能让被统治者感到他们的政府脱离他们的生活,与他们的生活越来越无关。汤普森-利伯曼法案通过采取创新、大胆的方法解决计算机安全问题,大大提高了扭转当前官僚主义方法解决动态问题的机会。 再次感谢你今天有幸出席本委员会的会议。 |