NSA和科技行业必须和谐相处以确保网络安全 - 彭博社

bloomberg

2014-07-04

插图由731提供硅谷与华盛顿之间的关系从来都不容易。但科技行业对国家安全局黑客行为的愤怒使得公司高管开始将美国政府视为新的对手。这可能会使互联网变得更加脆弱。

科技公司和服务提供商发誓不会自愿与政府分享信息，并且正在加速加密更多数据。前NSA承包商爱德华·斯诺登的揭露也使得商业与政府如何合作打击网络犯罪的讨论陷入停滞。

谷歌安全主管埃里克·格罗斯表示，华盛顿以前“指出了一些我们认为应该在系统中加强的地方，我们非常感谢这种帮助。”但他说，公众对斯诺登泄密事件的反应使得“即使在防御方面的合作也变得越来越困难。”政府必须承担恢复最低信任的主要工作，但科技行业必须超越单打独斗的观念。

多年来，科技行业——以其自由主义倾向——不确定为什么要与华盛顿这个黑莓仍然主导的地方沾上关系。微软只有在1990年代中期遇到反垄断问题后才开始认真游说。谷歌在2005年在首都设立了一名游说员，并在公司博客上解释说，“似乎华盛顿特区的政策制定和监管活动每天都在影响谷歌和我们的用户。”去年，科技行业成为华盛顿游说的第四大支出者，仅比石油和天然气行业少几百万美元。斯诺登丑闻只确认了科技行业对政府的怀疑。

在斯诺登泄密事件开始一年多后，我们仍然对NSA与美国公司之间的关系知之甚少，包括科技行业和更为宽容的电信提供商自愿分享了多少个人数据，以及有多少数据是NSA通过黑客攻击公司数据获得的。盟国政府和外国公司对此持最坏的看法。6月26日，德国宣布将不再与 Verizon续签合同，原因是担心该公司无法保护数据不被美国政府获取。

由于害怕失去海外市场，科技领袖们对他们的挫败感和挑战华盛顿的意图变得越来越直言不讳。去年底，微软的首席法律顾问布拉德·史密斯将政府的监视行为形容为“高级持续威胁”——这一术语曾经只用于最复杂的中国黑客攻击。在3月份有报道称NSA伪装成 Facebook服务器入侵了不明数量的计算机后，首席执行官马克·扎克伯格致电总统奥巴马表示抗议。随后，他在Facebook上发泄了自己的愤怒，写道：“当我们的工程师不懈努力提高安全性时，我们想象自己是在保护你们免受罪犯的侵害，而不是保护自己免受我们自己的政府的侵害。”

今年春天，广泛使用的加密软件中发现的“心脏出血”漏洞本应警示网络基础设施的脆弱性，并论证华盛顿和硅谷需要找到一种方法来克服斯诺登事件。在3月和4月初，一名谷歌工程师和芬兰公司Codenomicon分别发现了这个漏洞。谷歌悄悄地通知了一些科技公司（它不会透露是哪几家）和负责开源代码的OpenSSL项目。Codenomicon通知了芬兰国家网络安全中心。美国政府直到4月7日OpenSSL发布安全公告时才得知心脏出血漏洞。

心脏出血漏洞造成的损害是有限的。但潜在的混乱是巨大的。从一开始的挑战就是悄悄地提醒用户，以便他们能够在坏人利用软件缺陷之前进行修补。这是美国政府的自然角色。一位科技高管表示，在斯诺登事件之前，“世界其他地方会信任[华盛顿]无偿做正确的事情。”现在不再如此。

政府在其中扮演着关键角色——如果它能够重新获得信任。就像疾病控制与预防中心处理传染病一样，政府主办的中央信息中心可以传播有关漏洞和网络攻击的信息。只有华盛顿能够建立能够全球追踪网络犯罪分子的执法网络，推动在贸易协议中加强知识产权保护，谈判条约和国际准则以限制网络攻击，并向其他政府寻求帮助以制止这些攻击。

这就是2012年发生的事情，当时伊朗劫持了全球的服务器，并在数月内轰炸美国银行网站，导致服务减缓或中断。在金融行业寻求华盛顿的帮助后，NSA提出了一项针对伊朗服务器的有针对性且据称不可检测的行动。白宫则决定采取外交手段，要求多个国家清理本地服务器，并向他们提供技术支持。攻击逐渐减少。如果硅谷需要另一个提醒，说明恶意组织仍在活动，赛门铁克，这家网络安全公司在6月30日表示，一个与俄罗斯政府明显有关的团体已经感染了美国和西欧的能源公司，使用了一种名为“Energetic Bear”的恶意软件，可能会导致能源设施崩溃。

必须建立规则，以确定信息将在政府内部如何使用和共享

奥巴马提出了改革建议，包括结束国家安全局对电话“元数据”的存储，以及要求政府在查看记录之前获得法院命令。这还不够。微软的史密斯表示，“科技行业仍在等待政府承诺不会在法律程序之外入侵美国公司运营的账户、数据或服务。”为了开始修复损害，国会还必须对美国的监视政策进行更有效的监督；为公众提供更多透明度；在负责情报收集和网络安全的机构之间建立可信的分离；以及明确的信息使用和共享规则。

对情报收集的任何限制不可避免地意味着更大的风险。但如果私营部门和美国盟友不愿意与华盛顿合作，危险可能会更大。

严肃的改革还需要情报机构文化的转变，该机构一直认为它应该控制一切而不解释任何事情。基思·亚历山大将军在2005年至今年早些时候担任国家安全局局长期间，监督了国家安全局的巨大增长，对政府过度扩张的担忧特别迟钝。在斯诺登事件之前，他私下告诉商业领袖和其他官员，他的目标是为国家建立一个抵御恶意软件、恶意IP地址和其他危险的保护屏障。“他说他可以做到，但他必须监控每个人的网络，”一位要求匿名的前国家安全局官员表示，以便与该机构保持良好关系。

在发现Heartbleed漏洞后，引发了关于NSA是否储存未公开缺陷以便未来进行黑客攻击的问题，奥巴马的网络安全协调员迈克尔·丹尼尔在白宫博客上写道，关于漏洞的信息公开或保留的决定是经过仔细权衡的，倾向于公开。但他也表示，在某些情况下，公开意味着放弃“收集关键情报的机会，这可能会阻止恐怖袭击，阻止我们国家知识产权的盗窃，甚至发现黑客或其他对手正在利用的更危险的漏洞。”这一声明并没有缓解批评者的担忧。

新任NSA负责人迈克尔·罗杰斯海军上将承认与科技行业的关系已经破裂。“我理解我们为什么会走到这一步，”他在6月27日对《纽约时报》表示，并承诺进行关于NSA政策的“公开对话”。这将是一个开始。但重建信任还需要更多的努力。