基层管理网络安全:第一次关于地方政府网络安全的全国性调查的证据
作者:唐纳德·诺里斯、劳拉·马特昆、阿努帕姆·乔希、蒂姆·菲尼
发表时间:2020年4月17日
[摘要]:本文基于美国首次关于地方政府或基层政府网络安全的全国性调查的数据,探讨了政府如何履行保护基层网络安全这一重要职能。正如我们在文中阐述的那样,鉴于因为基层政府或地方政府频繁受到网络攻击,地方政府之间的网络安全变得越来越重要。网络攻击频繁出现,其间也存在网络攻击可能会对地方政府信息系统造成损害的可能性,基层政府或地方政府对于保护其信息资产负有重大责任,这同时又要求这些政府应该有效地管理网络安全,但根据我们的数据显示,美国基层并不具备这种能力。也就是说,地方政府未能很好地管理好网络安全。通过不断论证我们的调查发现,我们总结了地方政府网络安全管理过程中的经验并提出了改善地方政府网络安全管理的建议。
[关键词]:地方政府;基层管理;网络安全;
一、前言
在过去几年中,网络安全已成为组织内部各部门的一项基本职能,各种类型和规模的组织几乎都遭受过网络攻击,并遭到网络攻击的破坏(Verizon, 2019 Data Breach Investigations Report, DBIR)。在本文中,我们使用美国地方政府(或称基层政府)在第一次全国网络安全调查中获得的数据,对这些政府的网络安全管理进行探索性的分析。我们选择地方政府为对象进行这项研究的原因,正是因为地方政府经常收到网络攻击,并在这些网络攻击中受到了实质性的损害(Norris, Mateczun, Joshi, & Finin, 2018),同时也是因为迄今为止学术研究中以这些政府的网络安全为主题进行研究分析的并不多。正如我们在下面的方法部分中指出的,我们的样本中的大多数地方政府都是“城市”政府。因此,我们相信本文能够引起《城市事务杂志》的读者们的兴趣。
在对我们的调查作出了答复的地方政府中,28%的政府报告称至少每小时受到一次攻击,19%的政府说至少每天受到一次攻击,总占比47% (Norris et al., 2018)。相关的调查研究中,在我们进行研究的一个中心小组中,该小组所有地方政府参与者都称他们的组织在不断受到网络攻击(Norris et al., 2018)。鉴于网络攻击的频率,以及存在某次攻击会成功攻陷政府网络并造成损害的可能性,地方政府在保护其信息资产方面负有重大责任。反过来同时也要求了这些政府应该有效地管理网络安全,我们在本文中展示的这一点在美国基层中基本上是缺失的。
为了协助这项研究,从学术、专业和大众媒体方面,我们进行了广泛的文献回顾,以检验并确定相关的工作能够顺利开展。我们在一篇评论中了解到,无论是什么类型的出版物,关于地方政府网络安全的出版物数量都非常少,尤其是学术著作特别少。也就是说,不考虑在时间上更早的情况下,至少从20世纪80年代开始,来自各个学术领域的学者已经通过研究表明,在地方政府的信息技术(IT)世界中,“管理很重要”( Kraemer & Dedrick, 1997; Kraemer, King, Dunkle, & Lane, 1989; King & Kraemer,1985)。
最近,计算机科学、信息技术和网络安全领域的学者和专业人员得出结论,管理对网络安全来说很重要。事实上,当下的网络安全专家和从业者们普遍强烈建议,私营部门组织的首席执行官、公司董事会成员和高级管理人员应该重视其组织中网络安全的作用并充分保障网络安全(Buszta, 2003; Gibson,2015; Merko & Breithaupt, 2014; Whitman & Mattord, 2010; Wood, 2010)。同时这些专家们还认为,高级官员必须发挥关键作用,在他们的整个组织中创造并维持常说的“网络安全文化”(Norris et al., 2018)。
虽然这些建议主要针对的是私营部门组织的高级官员,但我们认为,它们同样适用于美国地方政府的民选首席官员、民选议员和任命的高级管理人员。如果没有这些官员的全力支持,无法实现网络安全管理的最佳以及网络安全结果管理的最佳。
ransomware成功于2018年3月在佐治亚州亚特兰大市以及2019年5月在马里兰州巴尔的摩市对基层政府实施攻击,而这两个事件仅仅是众多网络攻击事件中的沧海一粟,这表明美国地方政府对网络安全的认识方面和支持方面都存在着严重的不足。亚特兰大市长凯莎·塔茨表示,在这个城市的IT系统被一个勒索软件袭击劫持了几天后,她意识到虽然网络安全“以前不是重中之重,‘但它现在肯定已经走上了前线’”(Blinder & Perlroth, 2018, p. 3)。在巴尔的摩案件中,就在袭击发生前几个月,该市的首席信息官(CIO)就已经向城市规划委员会指出了该市网络管理中的存在的一些严重弱点,并指出巴尔的摩“在网络安全能力、员工需求和基础设施方面严重落后”(Duncan& Zhang, 2019)。
我们在之前的一篇论文中提出,关注基层网络安全的原因包括以下方面:(1)美国有许多地方政府——总计9万个,其中包括近3.9万个通用政府(Census Bureau, 2018)每年花费数十亿美元来保护其IT功能(Dixon, 2014)。(2)美国地方政府存储了大量敏感并且具有潜在价值的信息,尤其是个人身份信息(PII),这些信息极其容易被泄露。(3)黑客作为网络攻击的实体,在攻击私营和公共部门组织时候的成功率越来越高,网络攻击发生的频率在逐年增长(Accenture,2019)。(4)网络犯罪给美国和世界经济带来了高额损失,2021年后预计每年的损失额将超过6万亿美元(Morgan,2019)。(5)物联网(IoT)是一种快速扩展的现象,在向智能城市的发展过程中,随着越来越多的设备(包括个人设备)以不安全的方式连接到本地网络,地方政府使用社交媒体的频率也越来越高,物联网为地方政府带来了新的漏洞和风险(Li & Liao,2018)。(6)正如我们在接下来的文章中所讨论的,在关于地方政府网络安全主题的学术研究中,学术成果存在着巨大的差距,作为该领域的学者,我们认为应该采取措施应对解决这个问题。
因此,当前比较重要的是研究地方政府如何管理网络安全,以及他们在这方面取得了多少成效。通过了解基层的网络安全管理,我们将针对相关问题提出建议,为地方政府采取实际行动建言献策,实现高水平的网络安全。
研究方法
本文为探索性研究。探索性研究允许学者调查鲜为人知和难以理解的现象。就我们而言,人们对美国地方政府的网络安全管理知之甚少,因为这是一个研究不足的领域。探索性研究的一个优点是,它可以为更好地理解这种现象提供基础。举个例子,在这篇文章中,我们发现了几个有助于解释为什么地方政府没有很好地管理网络安全的因素。未来从事地方政府网络安全研究的学者能够以这项研究为基准将他们的发现与之进行比较和对比。研究人员可以在此基础上进行构建,并利用我们的研究结果来创建稳健的研究设计和方法。探索性研究还允许学者提出新的研究问题和假设。最后,探索性研究可以使用各种研究方法,包括案例研究、访谈、调查和定量数据。
当然,这种方法也有局限性。例如,研究人员既不能检验假设,也不能确定因果关系。结果解释中的偏差也是有存在的可能性的。因此,应该强调结果本质上只是初步的。
为了编制这项研究的数据,我们与国际城市/县管理协会(ICMA)合作,对地方政府网络安全进行了一次全国性调查。ICMA是美国地方政府专业人员的主要成员组织,因其对地方治理各个方面(包括IT)的研究而得到广泛认可。ICMA还有一项调查能力,他能够很便捷地接触美国地方政府(ICMA,2019)。我们与ICMA的员工以及我们的家乡马里兰州的地方政府IT和网络安全专业人士咨询小组进行了合作,根据有限的、可获得的关于地方政府网络安全的学术文献以及与本文特别相关的许多专业实践作品,起草了相关调查工具。
随后,我们将文书草案提交给我们为协助该项目而设立的一个自愿咨询小组,以供审查和提出意见。该团队由马里兰州10个市县的IT主管、首席信息官、首席技术官(CTOs)和首席信息安全官(CISOs)或同等级别的官员以及我们大学的首席信息官和CISO组成。在收到这些顾问的意见和建议后,我们修订了该工具。随后,ICMA对该工具进行了预测试,根据测试结果我们对其进行了适当的调整。我们用于开发该工具的过程为该工具创建了初步的有效性,并且我们相信,总体而言调查能够产生可靠的数据。
该文书审查了一系列广泛的地方政府网络安全问题。就本文件而言,我们的重点是研究与管理有关的问题。
2016年夏,ICMA将调查结果邮寄给所有人口达到或超过25,000人的市政府以及所有同样规模的县政府(总共3423个地方政府)。ICMA还为所有地方政府受访者提供了完成调查的在线选项。超过三分之一(37.2%)的受访者完成了书面调查,近三分之二(62.8%)的受访者完成了在线调查。ICMA发送了三封调查邮件(一封初始邮件和两封提醒邮件)和两封电子邮件提醒邮件。此外,在2016年的深秋和初冬,我们大学的研究助理给25万人口及以上的所有地方政府打了私人电话,但都没有回复。
最终答复率为11.9% (n = 406个地方政府)。虽然之前进行了地方政府一级的IT调查(Norris & Reddick,2013),我们发现造成这一比率有两个潜在原因。第一个是近年来调查的答复率大幅度下降(Anseel、Lievens、scholaert &Choragwicka,2010),ICMA也经历过这种情况(Evelina Moulder,2013)。我们从研究助理打来的电话中了解到第二个原因。许多IT和网络安全官员表示,因为他们的回应可能会透露有关本国政府网络安全问题和做法的敏感信息,所以他们不会做出回应。
如果对3400个地方政府的随机样本进行406次筛选,那么在95%的置信水平下,误差幅度为5%,该结果具有一定程度的满意度。然而,很明显,我们的调查不是随机抽样,而是一项人口调查。因此,我们必须能以其他方式证明我们的调查结果应该得到认真对待。在这里,我们要求读者考虑两个因素。首先,如图所示,调查结果有效地代表了我们所调查的地方政府的总体人口。虽然较大的地方政府在比例上比例过高,但较小的地方政府在数量上比例过高。这反映了美国地方政府的相对分布,各区域之间也存在一些差异,东北和中北部地区的地方政府任职人数不足,而南部和西部地区的政府任职人数过多,这是因为后两个区域出现的议会中管理形式的政府较多。而且如表所示,议会管理者政府的人数过多,因为在2006年占所有市政府55%的议会管理政府在东南部和太平洋海岸各州。
第二,我们对这些调查结果充满信心,因为绝大多数受访者(89.4%)都是有经验的地方政府IT和网络安全专业人员,对这一调查作出答复的人都是知识渊博、经验丰富的地方政府从业人员。
最后,我们对样本的“城市性”进行了评估,以向《城市事务杂志》的读者展示其相关性。首先,在抽样调查的406个地方政府中,近三分之二(260个或64.5%)是人口达到或超过25000人(其中大多数超过50000人)的城市,这是城市地区。其次,在144个做出答复的县中,67个(或46.5%)的人口达到或超过10万,这表明这些县中有一部分是城市。第三,除了一个县之外,所有这些县都被纳入都会区(MSA或CMSA)。最后,52个城市的居民人数达到或超过50000人(其中33个城市的居民人数超过100000人),10个城市的人口在25000至49999人之间。因此,我们可以认为样本中所代表的绝大多数辖区都是城市。
调查结果
本文的其余部分内容如下。首先,我们围绕本文所述的网络安全管理问题讨论描述性统计数据,包括地方政府内部网络安全责任的定位、以及这些政府是否将网络安全外包或购买网络安全保险、他们在网络安全方面的投资在过去5年中是否发生了变化、地方政府使用的网络安全工具的范围、他们为了更好地管理网络安全而采取的行动和采取的政策、地方官员对网络安全的认识和支持。
在进行描述性统计后,我们检查地方政府特征和网络安全结果的交叉列表和相关系数,了解这些特征是否与网络安全管理结果相关联(例如,网络安全外包、购买网络安全保险、网络安全投资变化等)。这是因为过去30年中对地方政府IT和电子政务的研究同样都发现了某些地方政府特征与IT和电子政务结果之间存在的关联。
因此,我们想知道在研究地方政府网络安全时这种模式是否会重现。具体而言,地方政府特征是否与人口与网络安全管理结果系统相关的政府类型(市诉县)、政府形式(专业行政人员诉民选行政人员)、地理区域(南部和西部诉东北和中西部)、家庭中位收入(高诉中等和低)、教育(大学毕业生百分比)和白人人口百分比(相对于非白人)等因素相关?举个例子,我们假设在调查之前的5年中,具有这些特征的地方政府在网络安全方面增加投资的可能性将显著高于其对应方。
最后,我们简要总结了研究发现,并在结论中提出了改进地方政府网络安全管理的建议。
四、综述
根据我们前一篇关于地方政府网络安全的调查数据的论文发现,这些政府中的很大一部分没有保护好网络安全。例如,许多地方政府不知道它们是否受到网络攻击,或者它们是否被攻破;未对攻击事件或违规进行计数或归类;并且无法确定针对其系统的攻击者类型。在一些重要的网络安全领域,比如发现漏洞、进行恢复以及数据泄露方面,他们也没有做好充分的准备。
基于本文中的数据我们能够假设,网络安全实践不尽人意的原因是,总的来说地方政府没有很好地管理网络安全。
这可能有三个主要(和相关的)原因,调查的受访者表示,他们政府的民选和任命的最高官员没有充分认识到网络安全的必要性,没有充分有力地支持网络安全,并且认为网络安全主要是技术专家的职责,而不是他们自己的职责。如果有充分的证据表明这是确切存在的,那么,除非采取措施改变这种情况,让民选和任命的高层官员变得更加了解和支持网络安全,并接受在其中发挥积极作用的责任,否则本文中确定的网络安全管理问题不太可能随着时间的推移而大大减少。
以下是对其他重要发现的简要重述。地方政府:
●在调查前的5年内没有对网络安全进行足够的投资;
●没有充分应用推荐的工具和行动来管理网络安全;
●没有向其组织内的各个成员提供足够的网络安全培训;
●没有采取适当的网络安全政策;
●不了解或并无实施适用的网络安全标准;
●报告说,其网络安全技术、做法和政策大多落后于现行最佳做法一代或一代以上;
●应对各种不利网络事件的能力有限;
●报告说,这些国家的最高官员没有充分认识到网络安全的必要性,没有为网络安全提供足够的支持,也不愿意在网络安全中发挥作用或承担责任。
我们的调查数据一再证明,这些发现只能被视为对地方政府网络安全管理现状的控诉。话虽如此,这些问题并非只发生在地方政府。几乎没有任何组织能够很好地管理网络安全。从积极的方面来看,地方政府仍有大量机会来改进其网络安全管理。
如果大多数组织在网络安全方面遇到困难,这表明可能涉及管理不善以外的问题。正如我们在之前的一篇论文中所报道的那样,实现高水平的网络安全存在若干障碍,其中包括:(1)无法向网络安全员工支付有竞争力的薪酬(58.6%作出答复);(2)网络安全员工人数不足(53.1%);(3)缺乏资金(52.8%);(4)缺乏训练有素的人员(46.9%)。每一个障碍都与资金有关,地方政府选出的官员和管理人员对资金的控制有限,必须在组织内相互竞争的需求之间取得平衡。
除了这些障碍,我们还要补充一点,业界现在已经充分认识到,网络犯罪分子动机很强(通常是出于财务、政治和意识形态方面的原因),犯罪分子数量众多,技术与对手相当(甚至比他们更熟练),并且在不断创新同时部署更新、更有效的网络攻击。面对这一系列的攻击者,包括地方政府在内的许多组织都没有做好准备,无法确保持续、成功的网络安全。
尽管如此,虽然认识到存在限制性外部因素,但是我们仍然相信,管理对于有效的网络安全至关重要。正如我们在文献综述中所展示的那样,几十年来的研究表明,管理对地方政府的IT成果至关重要,而最近的研究表明,它对网络安全也很重要。当然,地方政府当选和任命的高级官员对网络安全的理解和支持的提高可能并不是实现高水平的唯一因素。
这样想是愚蠢的。但是,如果没有这些官员的理解和支持,也很难想象地方政府能够在实现高水平的网络安全方面做得更好。
除了提高地方官员对网络安全的认识和支持,地方政府还应采取哪些措施来改善网络安全管理?在以我们的调查为基础的一份文件中,我们建议,为改进网络安全做法,地方政府应创造和维持网络安全文化、解决网络安全的障碍、并遵循最佳网络安全做法。这些建议同样适用于网络安全管理,但在此无需详细重复。我们建议在与地方政府网络安全管理直接相关的领域采取行动。
至少地方政府应该采取适当的行动来应对我们的每一项重大调查结果。例如,地方政府必须增加对网络安全的投资;地方政府应采取并执行适当的网络安全政策;了解并实施适当的工具和行动,以更好地管理网络安全;划分好网络安全培训的适当领域,并为员工不断提供这方面培训。地方政府应追究官员和雇员的责任,即使他们接受了适当的培训或出于其他原因,却违反了基本的网络安全规则和要求。
最后,地方政府应充分利用一系列建议、指导、工具、研讨会等。可从诸如NIST、DHS、公共技术研究所等组织及自己的成员组织(例如,ICMA、全国城市联盟、全国县协会等)获得。
我们讨论了有关地方政府网络安全的学术文献中的差距。这份文献是朝着缩小这一差距迈出的一小步,我们仍然还有许多工作要做。我们的调查提供了关于地方政府网络安全的基准数据。随后应该每隔5年进行一次额外的调查。除此之外,这些调查应验证本文所研究得出的调查结果,扩展研究这些调查结果,记录地方政府网络安全问题和做法时间序列的变化,更重要的是,测试各种独立变量和因变量之间的因果关系,以帮助我们更好地了解基层网络安全做法和结果。
学者们应该开始运用或发展一种或多种理论,来帮助解释基层的网络安全,特别是研究一个政府可能会比另一个政府在网络方面取得更好的结果的内在原因。我们建议从增量主义理论开始,因为它已经被成功地应用于理解地方政府方面的工作。对于地方政府来说,应该开展网络安全研究,并得出对学者和从业者都有价值的研究结果。
京公网安备11010502036362号