珍·伊斯特利(Jen Easterly)说网络安全和基础设施安全局他访问西雅图是为了倾听和搭建桥梁,而不是为了指指点点或喋喋不休。
伊斯特利是美国陆军退伍军人,两次获得铜星奖,曾任国家安全局反恐副局长。他周四解释说,该机构的重点既不是监管、情报,也不是执法,而是合作伙伴关系,他将网络安全描述为“团队运动”。
伊斯特利在访问亚马逊总部时表示:“网络安全不是一个需要解决的问题。”通过与联邦政府、州和地方政府以及我们私营行业的同事合作,我们可以降低这一风险,以确保我们共同降低国家面临的风险。”
伊斯特利本周访问西雅图期间会见了该地区的多家公司和机构,讨论了基础设施和选举安全等问题。
她在亚马逊的停留集中在网络安全人才缺口在美国,企业、非营利组织和其他组织需要人手来寻找有能力维护系统安全的员工。
史蒂夫•施密特他在会议一开始就强调了这个问题的紧迫性,指出他所在的部门目前有1200个空缺职位需要填补。
施密特说:“我们必须持续努力,以确保我们拥有合适的技能、合适的人才和合适的渠道。教育公众和再培训自己的工人.
伊斯特利在圆桌讨论期间听取并做了笔记,教育工作者、管理人员和地方政府官员提出了解决长期人才缺口的想法,让K-12年级的孩子参与和参与网络安全,增加他们中更多人最终选择该领域职业的机会。
他们的想法很实用,比如让科技公司更多地参与课程开发;要新颖有创意,比如主动创造一个新的网络安全超级英雄。
伊斯特利引用的研究表明,在服务不足的社区,特别是黑人社区,人们对“网络安全”一词有着不成比例的负面含义,将其与执法部门联系在一起。她指出,一些业内人士已经开始使用“数据护理”一词来更好地反映该领域的性质。
但是CISA(通常发音为siss-uh)还对软件和云服务的漏洞有独到的见解,而这些漏洞经常被攻击者利用协调漏洞披露流程.
伊斯特利在西雅图之行期间还参观了微软,她在回答GeekWire的问题时谈到了让科技公司承担责任的必要性。继续阅读她的评论。
“不幸的是,我们现在已经接受了这样一种文化规范,即软件存在大量漏洞。”
中钢协主任珍·伊斯特利
软件漏洞:“我经常和我们的技术团队谈论的一件事是,越来越需要创造设计上安全的技术。……不幸的是,我们现在已经接受了这种文化规范,即软件总是带有大量的漏洞。因此,我们需要共同努力,确保科技公司承担起责任,开发出不会给那些最不具备接受能力的人带来风险的产品。”
缺省情况下,多因素认证:“我经常把MFA比作信息高速公路的安全带。你不会买一辆没有安全带和安全气囊的车。所有的科技公司都在构建和设计他们的产品和软件,把安全融入其中,这是非常非常重要的,我认为这是在朝着正确的方向前进。在一天结束的时候。我可以一遍又一遍地告诉人们——我确实这么做了——他们应该启用多因素身份验证,但它应该出现,所以你甚至不需要担心它。”
让科技公司承担责任:“这些事情的发生有三个层次。开明的利己主义;这是正确的做法。市场力量,因为有竞争压力。还有监管。”
利用大讲坛:“我当然不是监管的支持者,因为我们是一个自愿机构。我们模式的神奇之处在于,我们与科技公司建立了信任和伙伴关系,把拼图拼在一起。尽管如此,我将继续利用我的平台、我的声音和CISA在美国政府的讲台,呼吁科技公司承担更大的责任,在他们的产品中建立安全机制。”
作为关键基础设施的科技:“这不仅仅是微软或亚马逊的问题。这是所有构建软件和产品的公司都需要内部化的东西,因为,无论它们是否被正式称为关键基础设施,它们都是所有关键基础设施的支柱。在某些方面,它们可能是最关键的基础设施,因此,它们在我们的国家安全、经济繁荣、公共卫生和安全方面承担责任是非常重要的。”
