特朗普会抛弃拜登的“网络安全遗产”吗?
GoUpSec点评:虽然特朗普和拜登的执政理念大相径庭,但是在网络安全政策方面,二者的分歧可能并未如人们想象得那么大。
即将重返白宫的特朗普是否会全盘接受拜登的“网络安全遗产”?这是全球网络安全行业当下最为关心的话题之一。
拜登的最后一道网络安全总统行政令
特朗普胜选后,业界普遍预测“跛脚鸭总统”拜登很有可能赶在在年底之前颁布第二道网络安全总统行政令,以在卸任前完成更多网络安全政策的布局。
据消息人士透露,这项总统命令预计将在国会“跛鸭期”内(年末)发布,覆盖从“安全设计”倡议到供应链责任、IT和操作技术安全、互联网路由、密码管理、身份管理、人工智能以及网络安全人才培养等一系列主题,新的总统行政令的重点和看点如下:
1.通过行政令加固网络安全政策
消息人士表示,拟议中的网络安全行政令将延续拜登政府在2021年推出的标志性网络安全政策,解决此前未覆盖或未完全解决的领域。其中,推进后量子密码学标准尤为突出。这一标准旨在应对未来量子计算机可能带来的加密破解威胁,确保政府和企业在网络环境中的安全性。此外,这项命令还将涉及“安全设计”原则,鼓励公司在产品设计初期内置安全特性,以应对近年多起高调的网络安全事件。
拜登政府意图通过此项行政命令巩固其在科技和网络安全领域的遗产。前奥巴马时代的国家安全委员会网络安全协调员、现任网络威胁联盟(Cyber Threat Alliance)负责人迈克尔·丹尼尔(Michael Daniel)对此表示赞同:“如果特朗普将接任白宫,拜登政府在12月颁布此命令是合理的选择。”丹尼尔认为,提前颁布这一行政令不仅是为应对特朗普上台后可能出现的政策调整,也为确保网络安全政策的连贯性打下基础。
2.聚焦政府网络安全成熟度与身份管理
尽管即将颁布的总统命令将覆盖广泛的网络安全议题,但消息人士称它不会完全涵盖此前草案中涉及的所有身份管理措施。白宫早在今年3月就曾表示,关注公共福利中身份盗窃的行政令仍在制定中。该命令则主要聚焦于政府内部的身份和访问管理,以确保在网络威胁日益复杂的环境下保护关键政府数据。
在政府层面,联邦机构已在加速内部网络安全态势,以在2024财年结束前实现零信任架构的全面实施。网络安全和基础设施安全局(CISA)也在大力推动“安全设计”理念,呼吁企业在产品设计中内置安全措施,减少网络攻击的发生概率。
3.推进“安全设计”理念与数据传输协议安全
拜登政府的网络安全办公室(ONCD)通过今年3月发布的政府全面网络安全战略,进一步推动“安全设计”原则,鼓励开发者采用内置安全防护的编程语言,以防止未经授权的访问、数据破坏或黑客导致的系统崩溃。白宫的网络安全办公室还在推动加强边界网关协议(BGP)的安全性,这一协议是全球数据传输的核心基础。
10月末,拜登政府已宣布禁止对AI、半导体、量子计算等高科技领域进行境外投资,以保护国家安全。此外,财政部颁布了最终规定,禁止美国向这些先进技术领域的投资,以防关键技术外流并削弱美国的技术主导地位。
4.为下一阶段的网络安全工作奠基
“虽然整体上看,我们的网络安全防护已得到提升,但离理想状态还有距离。”丹尼尔指出,新的网络安全行政令不仅是在收尾现有政策,更是为未来进一步强化网络安全奠定基础。
特朗普的当选为拜登政府推进这一政策增添了紧迫性。拜登第二道总统命令的的核心目的是确保拜登的网络安全遗产得以延续,也为下届政府预留了继续推进网络安全政策的空间。
是否抛弃拜登“安全遗产”?
新特朗普时代的网络安全政策预测
特朗普再次当选后,可能会重新审视拜登政府在网络安全领域的政策和行政命令,鉴于二位在网络安全、经济、国际关系等关键政策上的理念差异,有理由推测特朗普可能会对拜登的网络安全行政令做出调整或重新定义,但全面推翻的可能性较小。
以下是GoUpSec专家FunnyG对特朗普和拜登历史网络安全政策的对比,以及特朗普上任后可能的政策走向分析:
1.总体政策方向:拜登的全面防护vs.特朗普的重点保护
拜登政府的网络安全政策以广泛覆盖为主,致力于巩固美国的网络安全基础,覆盖零信任架构、供应链安全、后量子密码学、人工智能和身份管理等多个领域。2021年的网络安全行政令(EO 14028)推动了多方面的改进,尤其是在联邦政府和关键基础设施中的防护措施。
相比之下,特朗普在其首个任期内(EO 13800)则更注重保护联邦网络和关键基础设施的网络安全,但整体策略更加聚焦于具体威胁,特别是防范国家级对手如中国和俄罗斯的网络攻击。特朗普的政策侧重于快速行动和减少监管,以提高政府机构和企业的灵活性和应变能力。
如果特朗普在新任期内选择对拜登的网络安全行政令进行调整,他可能会减少对全面网络安全政策的关注,将更多资源集中于特定的国家安全威胁,并简化部分监管以鼓励私营部门的快速响应。
2.供应链安全与“安全设计”原则
拜登的行政令注重软件供应链的安全,强调“安全设计”(Secure by Design)原则,即在产品设计阶段即嵌入安全防护,防范潜在的供应链漏洞。CISA和NIST在拜登的政策推动下,已发布了多项供应链安全准则。
特朗普的政策可能不会过多推行“安全设计”原则,因其倾向于减少政府对私营部门的干预。特朗普可能会鼓励企业自行采取安全防护措施,而不是通过强制性标准实施。然而,鉴于供应链安全问题在过去几年屡次引发重大事件(如SolarWinds事件),特朗普或会在某些高风险领域保留拜登的供应链安全策略。
3.后量子密码学与技术创新
拜登政府提出加速向后量子密码学的迁移,旨在为可能出现的量子计算威胁做准备。拜登的网络安全行政令鼓励联邦政府和私营部门协作,提前应对量子技术对传统加密技术的潜在威胁。
特朗普政府在量子计算领域支持技术创新,但可能不会如拜登政府般密集推行后量子密码学的标准。特朗普的网络安全政策或许会更多地聚焦于短期威胁,可能放缓后量子密码学的推广步伐。
4.更加独立的安全防御策略,减少国际合作
拜登政府的网络安全政策更强调国际合作,与盟国在网络威胁和网络政策方面紧密协作。拜登政府加强了与欧洲、亚太等地区的网络安全伙伴关系,以共同应对来自中国、俄罗斯等国的网络攻击。
特朗普在外交政策上倾向于“美国优先”,他可能会减少在网络安全上的国际协作,专注于独立的国家防御战略。特朗普更倾向于通过对外施压来达成网络安全目标,而非通过跨国协作来推动整体安全框架的建立。然而,由于全球网络安全形势复杂,特朗普可能会在特定领域保持有限的国际协作。
5.减少合规压力和监管力度,给企业“松绑”
拜登的政策中,软件和设备制造商在产品安全性上的责任更大,且在联邦政府层面推进了多项强制性网络安全标准。拜登的政策希望在企业中形成自上而下的安全责任文化,要求企业在防护设计、数据管理和威胁检测方面承担更多的合规性责任。
特朗普可能会削减此类合规性监管,给予企业更多的自由。特朗普一贯强调减少政府对市场的干预,因而在网络安全方面可能减少合规性压力,以鼓励企业进行灵活、快速的安全应对。但在高度敏感的领域(如关键基础设施、国防承包商),特朗普或仍保留一定的监管措施。
预测:特朗普可能作出网络安全政策调整
综合来看,特朗普重新上任后可能不会完全推翻拜登的网络安全政策,而是会在现有基础上进行调整,突出其一贯的“灵活响应、减少监管”策略:
保留关键基础设施保护和联邦网络防护措施,但会减少对私营企业的过多监管。
重新聚焦短期网络威胁,减少对后量子密码学等前沿技术的长远部署,转而专注于目前的实际网络威胁。
放缓供应链和“安全设计”相关的强制性措施,让企业有更多的自主权。
减少国际合作力度,采取更为独立的国家安全策略。
总结
特朗普和拜登在总统任期颁布过的网络安全总统行政令虽然在具体政策细节上有所不同,但都聚焦于提升联邦网络和关键基础设施的安全性。拜登的网络安全策略侧重于全面的系统防护,注重“安全设计”和供应链安全,而特朗普则更加偏向简化监管,灵活应对实际威胁。在特朗普再次当选的背景下,他可能会保留部分拜登的网络安全政策基石,同时进行调整,使政策更具灵活性并减少对企业的监管,以符合其一贯的“减少政府干预”理念。
总之,虽然特朗普可能对拜登的政策进行部分削弱,但在面对国家级威胁和关键基础设施保护方面,特朗普或将延续部分政策,以维护美国的网络安全根基。