美国网络安全和基础设施安全局犯了一个让人哭笑不得的低级错误:把一份包含明文密码和云服务密钥的电子表格直接上传到了公开的代码仓库。最先发现这个问题的并不是该机构自己的安全团队,而是长期关注网络安全领域的独立调查记者。
作为美国联邦政府层面负责网络安全的核心机构,它的职责包括保护关键基础设施免受网络攻击、向各部门和行业发布安全预警、协调全国范围内的网络防御工作。简单来说,这个机构存在的意义就是告诉别人应该怎么保护好自己的数据和系统。然后它自己把管理员密码和云服务密钥放在了任何人都能访问的公开平台上。
类似的失误在企业界其实并不罕见,开发人员不小心把密钥提交到代码仓库是常有的事,几乎每家科技公司都出过这种问题。但同样的事情发生在一个专门负责网络安全的政府机构身上,性质就完全变了。过去两年里,该机构在推动联邦部门和关键基础设施运营者加强网络安全标准方面做了大量工作,发布了各种框架、指南和最佳实践文档。现在这些标准的制定者自己出了这种低级事故,批评者完全有理由质疑:你连自己的安全都管不好,凭什么指导全国的网络安全工作?
更深层的问题出在人才和流程两个方面。联邦政府的信息技术岗位薪资水平远低于私营部门,很难留住顶尖的安全人才。很多政府机构的内部安全管理流程还停留在十几年前的水平,主要靠人工检查和制度约束,而不是靠技术手段实现自动化防护。代码仓库的访问权限管控、敏感文件上传的自动检测和拦截,这些在大型科技公司已经是基本功了,但在政府部门可能还是一片空白。
本届政府上台后对该机构进行了大幅人员精简,多个高级安全岗位被裁撤或合并。这次事件虽然表面上是技术操作失误,但背后人手不足和管理松散的问题也是重要原因。对其他国家的网络安全主管部门来说,这是一个非常有价值的反面教材:负责安全的人不能只靠行政权威,自身的安全技术底线必须过硬。信誉这种东西,建立需要十年的努力,毁掉只需要一次公开的失误。
信誉这种东西,建立需要十年的努力,毁掉只需要一次公开的失误。对于任何肩负安全职责的机构来说,自身的技术执行力和操作规范性必须是最高等级的,否则每一次对外发布的安全建议和最佳实践指南,都会被公众拿这次低级失误来做对比。政府机构在网络安全领域要真正树立权威,靠的不是法律赋予的行政权力,而是一次次用实际表现证明自己值得信赖。