點(diǎn)評(píng)：如果知名大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)室都忽視甚至排斥最基本的網(wǎng)絡(luò)安全規(guī)范，那么其他政府資助的科研項(xiàng)目的安全合規(guī)問(wèn)題只會(huì)更加令人擔(dān)憂。

近日，美國(guó)喬治亞理工學(xué)院(Georgia Tech)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室陷入了一場(chǎng)法律訴訟。實(shí)驗(yàn)室負(fù)責(zé)人Antonakakis博士因長(zhǎng)期拒絕遵守美國(guó)國(guó)防部(DoD)的網(wǎng)絡(luò)安全規(guī)范(例如安裝殺毒軟件)，導(dǎo)致學(xué)校被美國(guó)聯(lián)邦政府起訴。

著名安全實(shí)驗(yàn)室被控欺詐

Antonakakis領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室此前獲得了數(shù)百萬(wàn)美元的國(guó)防部研究項(xiàng)目資金，其中包括為國(guó)防項(xiàng)目開發(fā)重大技術(shù)項(xiàng)目，例如“Rhamnousia：通過(guò)張量分解和數(shù)據(jù)抓取來(lái)追蹤網(wǎng)絡(luò)攻擊者”。

聯(lián)邦政府指控稱，Antonakakis及其實(shí)驗(yàn)室多年來(lái)未遵守基本的安全規(guī)范，甚至在明知不合規(guī)的情況下，依舊提交了研究項(xiàng)目的費(fèi)用發(fā)票，這種行為構(gòu)成了欺詐。

“從根本上說(shuō)，國(guó)防部為軍事技術(shù)項(xiàng)目支付了費(fèi)用，但被告將這些技術(shù)存儲(chǔ)在不安全的環(huán)境中，無(wú)法防止未經(jīng)授權(quán)的訪問(wèn)和泄漏。被告甚至沒有監(jiān)控是否發(fā)生了信息泄露，這意味著即便信息已經(jīng)發(fā)生泄露，國(guó)防部也無(wú)從得知。最終，國(guó)防部認(rèn)為在該項(xiàng)目的投入毫無(wú)價(jià)值，未能獲得應(yīng)有的利益?！甭?lián)邦政府在起訴書中如此寫道。

網(wǎng)安博士強(qiáng)烈反對(duì)安裝殺毒軟件

Antonakakis博士和他領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室長(zhǎng)期反對(duì)安裝殺毒軟件，這直接違反了DoD的安全規(guī)范規(guī)定。根據(jù)NIST發(fā)布的《非聯(lián)邦信息系統(tǒng)與組織中受控未分類信息的保護(hù)》800-171號(hào)特別出版物，處理或存儲(chǔ)涉密信息的設(shè)備必須安裝終端殺毒軟件。然而，Antonakakis博士對(duì)此持強(qiáng)烈反對(duì)態(tài)度。

喬治亞理工的系統(tǒng)管理員曾要求Antonakakis博士遵守規(guī)定，但他在2019年的一封內(nèi)部郵件中明確表示，安裝殺毒軟件這件事“無(wú)法接受”。實(shí)驗(yàn)室的IT主管被允許采取其他“緩解措施”，例如依賴學(xué)校的防火墻來(lái)提供額外的安全保護(hù)。然而，事實(shí)證明，這種“假設(shè)”是錯(cuò)誤的。學(xué)校的網(wǎng)絡(luò)也從未提供過(guò)殺毒保護(hù)，而且實(shí)驗(yàn)室中使用的筆記本電腦經(jīng)常離開學(xué)校網(wǎng)絡(luò)環(huán)境，這進(jìn)一步加劇了安全風(fēng)險(xiǎn)。

喬治亞理工校方意識(shí)到實(shí)驗(yàn)室為遵守國(guó)防部合同規(guī)定后，決定暫停實(shí)驗(yàn)室合同的發(fā)票提交，以避免被控提交虛假付款請(qǐng)求。然而，在發(fā)票暫停提交幾天后，Antonakakis最終同意在實(shí)驗(yàn)室安裝殺毒軟件。

盡管如此，聯(lián)邦政府指出，學(xué)校從未承認(rèn)其長(zhǎng)期不合規(guī)的事實(shí)，且在不合規(guī)的情況下依舊提交了大量發(fā)票，這屬于欺詐行為。

安全評(píng)估弄虛作假

喬治亞理工面臨的第二個(gè)問(wèn)題是，該校在自我評(píng)估安全性時(shí)，提交了虛假分?jǐn)?shù)。根據(jù)NIST的規(guī)定，學(xué)校需要評(píng)估110項(xiàng)安全控制措施的實(shí)施情況。喬治亞理工提交了一份全校的“總體安全計(jì)劃”，分?jǐn)?shù)為98分，但實(shí)際上這個(gè)分?jǐn)?shù)是基于一個(gè)虛構(gòu)的模型，而不是各個(gè)實(shí)驗(yàn)室的真實(shí)情況。

校方并沒有對(duì)每個(gè)實(shí)驗(yàn)室進(jìn)行單獨(dú)評(píng)估，而是統(tǒng)一提交了編造的“98分”作為實(shí)驗(yàn)室項(xiàng)目的分?jǐn)?shù)。聯(lián)邦政府對(duì)此表示不滿，認(rèn)為這種安全評(píng)估形同虛設(shè)，根本不反映實(shí)際的安全狀況。

技術(shù)骨干成安全文化“毒瘤”

聯(lián)邦政府認(rèn)為，喬治亞理工之所以會(huì)出現(xiàn)如此松懈的安全管理，主要原因是研究人員認(rèn)為遵守安全規(guī)范“太麻煩”。當(dāng)核心研究人員成為抵觸網(wǎng)絡(luò)安全規(guī)定的”毒瘤“時(shí)，校方管理層往往選擇妥協(xié)，而不是強(qiáng)制執(zhí)行安全措施。

據(jù)前員工透露，喬治亞理工的高級(jí)領(lǐng)導(dǎo)層之所以向研究人員的要求讓步，主要是因?yàn)檫@些研究人員能為學(xué)校帶來(lái)大量政府合同資金。一名前員工稱，學(xué)校的網(wǎng)絡(luò)安全合規(guī)文化充斥著“反正領(lǐng)導(dǎo)都不重視安全，所以我也可以無(wú)視(安全)規(guī)定”的態(tài)度。

不過(guò)，并非所有人缺乏基本的安全意識(shí)。這起案件之所以曝光，正是因?yàn)閱讨蝸喞砉さ腎T部門內(nèi)部有幾位吹哨人站出來(lái)揭發(fā)實(shí)情。

喬治亞理工學(xué)院網(wǎng)絡(luò)安全實(shí)驗(yàn)室的合規(guī)問(wèn)題再次凸顯了安全合規(guī)在學(xué)術(shù)研究中的重要性。盡管安全規(guī)定可能會(huì)給研究工作帶來(lái)不便，但高校學(xué)術(shù)實(shí)驗(yàn)室的開放性使其極易成為國(guó)家間間諜活動(dòng)的目標(biāo)。

通過(guò)起訴喬治亞理工學(xué)院，美國(guó)政府向其他依賴政府資金的大學(xué)實(shí)驗(yàn)室也發(fā)出了警告：“如果不能嚴(yán)格遵守網(wǎng)絡(luò)安全規(guī)范，就別想再獲得政府資金。”

文章來(lái)源：GoUpSec