美国网络安全负责人试图让美国人信任选举 - 彭博社

Katrina Manson

2024-11-01

詹·伊斯特利在2月7日的基辅国际网络韧性论坛上发表演讲。

摄影师：弗拉基米尔·什坦科/阿纳多卢/Getty Images

作为网络安全和基础设施安全局的局长，詹·伊斯特利帮助保护选举基础设施免受黑客攻击、暴力和旨在激起不信任的恶意指控。

然而，她工作中最具挑战性的部分可能是在周二之后开始，当时伊斯特利可能需要说服一个怀疑和分裂的选民，认为投票结果是合法的。类似的说法使她的前任克里斯·克雷布斯在2020年选举后被解雇，并且，他曾表示，这导致了死亡威胁。

今天，尽管伊斯特利表示美国的选举系统“从未如此安全”，但沿着党派的怀疑只增不减：根据盖洛普的调查，选民对选举过程的信任在共和党人中骤降至28%，而在民主党人中则为84%。

所有这些都让伊斯特利在一个紧张的政治时刻处于风口浪尖。在她领导美国网络防御机构的角色中，她努力赢得其他政府机构和私营部门公司的信任。现在，她必须对一个更加动荡的选民群体做到同样的事情：美国选民。

自从Easterly接管以来，CISA的年度预算增长了近三分之一，接近30亿美元。摄影师：Ben Curtis/APEasterly是一位前军官，她可以在背后解魔方，并在她的吉他上弹奏网络安全建议，2021年她接管了美国最新的机构，三年后国会签署了该机构的成立。经历过西点军校、白宫以及在伊拉克和阿富汗的战时巡演，她的最新角色是领导一个许多人认为不可能完成的任务。

CISA并不负责美国的选举——这属于8000多个独立的管辖区和认证它们的州——但它提供支持给地方和州官员，提供资金、人员、技术知识和外联。此外，它还负责帮助保护包括能源、水和医疗保健在内的16个关键领域，并与联邦机构合作。然而，尽管其职责广泛，CISA几乎没有监管权力。

阅读更多：特朗普坚称自己是明确的领先者，在视频中播下怀疑的种子

“我们在很大程度上是一个自愿机构，”伊斯特利在一次又一次的演讲中说道。这是有意为之：国会设立CISA作为政府与监管重要基础设施的企业之间的中介。这是一项艰巨的任务，其使命因协调挑战和资源有限而进一步受到限制。手中工具如此之少，伊斯特利已个性化了她的外联——并在这个过程中成为了一位小有名气的名人。

“我希望CISA成为世界上最好的机构，”她在2022年一次黑客大会上说道，听众中包括几位星光熠熠的程序员。在次年的同一活动中，她与其他演讲者一起喝了一杯，然后在舞台上喝啤酒，同时讲述网络威胁的复杂历史。

“自从她还是学员时就一直在挑战体制，”道格拉斯·卢特说，他是前美国驻北约大使，也是她的前军队同事，自认为是朋友。

她的非传统方法取得了一些胜利。自从伊斯特利接管以来，CISA的年度预算增长了近三分之一，接近30亿美元。该机构的员工人数现在超过3300人，其中约一半是伊斯特利引进的。她专注于从代表性不足的群体中招聘，特别是女性，并优先考虑工作场所的心理健康。随着她逐渐适应这份工作，她也变得更加直言不讳，敦促科技公司对保护其代码承担更多责任。

随着网络威胁的增加，白宫去年发布了一项新的网络安全战略，旨在对与关键行业相关的公司施加最低安全标准，并使软件供应商对发布不良代码负责。但这是一项依赖国会支持的长期计划。批评者表示，美国在这方面起步较晚，目前，CISA必须在很大程度上依靠善意来保护国家一些最重要的基础设施。

在2023年纽约“编程女孩”十周年庆祝活动上，Easterly。摄影师：Madison McGaw/BFA.com/Shutterstock在Easterly满50岁的时候，她纹了一个纹身。在经历了数十年的军事和政府服务后，她离开了国家安全局，开始在纽约的摩根士丹利工作。她在接受彭博社采访时表示，她最终决定过上真实的生活，并补充说，“当你是，嗯，你知道的，Easterly中校或其他什么的时候，这很难。”环绕她左手腕的纹身，致敬于日本的生存哲学“生き甲斐”（Ikigai），鼓励追求目标和快乐，成为她新承诺的象征。

对于Easterly来说，这是一个激进的举动，她在成长过程中听着父亲讲述越南战争的故事，父亲是一位前尼克松演讲撰稿人和高级五角大楼官员。她于1986年入学西点军校，并在艰苦的时光中坚持下来，部分原因是害怕让父亲失望。

“我一直对自己非常非常苛刻，”伊斯特利说。

她到达CISA后面临的第一个挑战之一是重新激活一个资源不足、缺乏领导的工作场所，“相当疲惫。”他们刚刚经历了Covid、2020年选举，并经历了一系列重大黑客攻击。该机构的首任主任克雷布斯在为选举结果的可靠性担保后几个月前被时任总统唐纳德·特朗普解雇。伊斯特利在NSA工作时，前承包商爱德华·斯诺登关于大规模监控的揭露使该机构成为了众矢之的，她有自己扭转局面的方式。

在公众面前，她让自己成为了该组织的面孔。这种做法部分是战术性的——“人们不信任机构；他们信任人，”她观察到——但这也反映了她的信念，即赢得信任归结为“对你自己和对你重要的事情非常诚实。”伊斯特利公开分享了她在西点军校的挣扎以及她弟弟自杀的经历。

在个人层面上，伊斯特利相信她的新思维方式正在奏效。她在去年在匹兹堡的一次采访中表示，她正在成为一个“更舒适”的人。“希望，”通过学会对自己宽容一些，她最终也能对他人宽容一些，她说。

这条评论暗示了她作为经理所遇到的挑战。Easterly相信在工作中要全心投入，她表示自己一直在努力提高自我意识，并改善情绪管理。“随着你越来越高级，你必须小心，因为有时候你所说的每一句话或你给出的一个眼神都可能传达出很多意义，”她反思道。

与此同时，她在其他方面也加强了自己的方法。在私营部门，她推动将网络安全的责任从消费者转回到董事会，并施压大型科技公司修补其安全漏洞。特别是一家公司经常成为这些努力的中心：微软，这个国家的网络安全巨头。

Easterly最初采取了谨慎的态度，但她对微软的指责在2023年逐渐变得更加明显。在那年的2月，她在一次公开演讲中将微软的安全协议与苹果的进行不利比较，作为对大型科技公司提供不安全产品的强烈抨击的一部分。到8月，她开始暗示微软应该“重新捕捉”公司联合创始人比尔·盖茨所称的“值得信赖的计算”精神。

然后，在4月，她的机构发布了她后来形容为 “令人震惊的”报告，揭示了该公司安全性松懈的问题。紧接着的下个月，微软宣布进行全面改革。它将把安全放在首位，甚至将奖金与进展挂钩。

微软并不是Easterly推动的唯一公司：她半开玩笑地表示她想要让整个网络安全行业关门大吉，称其存在的原因仅仅是因为供应商继续销售旧的和不安全的代码。“软件漏洞”应该更好地被称为“产品缺陷，”她表示。

虽然大科技公司在理论上现在愿意合作——自八月以来，她说服了近200家公司，包括亚马逊网络服务、谷歌和微软，签署承诺，承诺设计更安全的软件——但由于没有能力强制执行她的要求，Easterly是否能够引导出比口头承诺更多的行动仍然悬而未决。

与此同时，她的上司警告说没有时间可以浪费。

亚历杭德罗·马约卡斯在10月1日的白宫。摄影师：尤里·格里帕斯/阿巴卡/彭博社在二月份的慕尼黑网络安全会议上，国土安全部部长亚历杭德罗·马约卡斯表示，快速演变的网络威胁需要“监管和个人责任”，并随后提到对多年自愿策略失败的“担忧”。他的警告在那段时间内得到了重大网络攻击的加强，这些攻击瘫痪了经济关键领域的关键节点：一个对许多大银行至关重要的软件系统，以及一个将医疗提供者和药店与保险公司连接的公司。这些攻击对华尔街造成了严重破坏，并在美国医疗系统中引发了连锁反应，这两个领域是16个关键领域之一。

CISA的部分任务是识别在这些行业中处于关键瓶颈的企业。根据一位不愿透露姓名的美国网络问题官员的说法，该机构尚未有效地做到这一点，并补充说这有可能使其变得无关紧要。

该机构表示，正在通过制定一份非公开的约500家公司名单来部分解决此问题，计划为这些公司提供额外资源，更加密切关注，并——理想情况下——要求其遵循更高的网络安全标准。CISA国家风险管理中心的助理主任莫娜·哈林顿在3月份给彭博社的电子邮件声明中表示，该机构正在“进行进一步分析”，以确定如果被切断可能产生连锁反应的瓶颈。CISA拒绝对此后的进展发表评论。

这些都未能完全满足国防民主基金会网络与技术创新中心的高级主任马克·蒙哥马利的期望。他表示，美国需要为这500家公司建立最低网络安全标准，同时给予他们某种激励，例如额外的情报。他补充说，医疗保健和银行黑客攻击的广泛影响是“明显的证据”，证明存在显著的单点故障。

蒙哥马利是CISA的长期支持者。他认为，伊斯特利在微软方面做得“很好”，但在支持其他政府部门的网络安全和与私营部门合作方面，该机构的表现“不一致”。监察长报告突显了CISA在处理大坝、能源和水行业以及在检测和修复网络入侵方面的弱点。蒙哥马利表示，该机构负担过重，面临太多竞争的首要优先事项。他将这一问题的责任归咎于国会，而不是伊斯特利。

在一份电子邮件声明中，梅约卡斯对伊斯特利表示赞赏，称其“在推动我们国家的网络安全方面与私营部门建立了前所未有的合作关系”，并表示她“将CISA带到了新的高度”。

CISA在数百个案例中警告公司即将发生的网络攻击，并协助进行威胁狩猎和事件响应，但根据官员和顾问的说法，这个年轻的机构仍然任重道远。伊斯特利的宠儿项目，一个于2021年启动的协作网络安全平台，名为JCDC——这是对她最喜欢的摇滚乐队AC/DC的致敬——在八月份时，负责该项目的官员承认它遭遇了“成长的烦恼。”该顾问委员会建议，尽管拥有超过340个成员并逐渐建立起优先考虑政策讨论而非行动的声誉，但它应该更加关注主动应对事件。

但在CISA和国家面临的最紧迫问题上，伊斯特利取得了更多成功。随着提前投票的进行，伊斯特利大声宣称国家的投票系统已做好准备并具备韧性。所有50个州都已注册使用CISA资助的选举基础设施信息共享与分析中心（EI-ISAC）提供的免费网络安全工具，该机构还任命了十位地区选举安全顾问，并在过去一年中进行了大规模的选举安全演练。

尽管“威胁和挑战远远超过选举官员和管理者几十年来所面临的任何情况，”她在上个月底特律的一次会议上表示，“选举基础设施从未如此安全。”

与此同时，尽管EI-ISAC拥有超过3,800个成员组织，但仍远未代表超过8,000个选举管辖区的总数。该组织的副总裁Marci Andino表示，她仍然听到一些地方选举官员表示他们不信任联邦政府。这就是Easterly如此渴望放大前线选举工作人员声音的原因之一：因为社区中的人们认识他们。

Easterly在2023年华盛顿特区国家秘书协会冬季会议上发言后。摄影师：Patrick Semansky/AP这是一场微妙的舞蹈——而且最困难的阶段可能在前方。Easterly警告说，坏演员可能会试图在选票计数和审计时破坏对投票的信心，提到由俄罗斯、伊朗和中国主导的影响操作。但在CISA的YouTube频道上的一段视频中，她还表示，最大的危险并不总是来自国外。讨论2020年后出现的物理威胁时，Easterly表示，这些威胁“在很大程度上”源于毫无根据的主张，即结果并不代表美国人民的意愿。

Easterly对所有可能出错的情况持现实态度。但最重要的是，她希望选民为等待游戏做好准备。她警告说，可能需要“几天到几周”才能知道选举的最终结果，并且在此期间谣言可能会大量出现。如果是这样，美国的未来可能会取决于她最喜欢的、难以获得的商品：信任。