美国网络安全与基础设施安全局(CISA,Cybersecurity and Infrastructure Security Agency)的年度预算从29亿美元骤降至24亿美元——这不是演习,是白宫2027财年预算案里的白纸黑字。
7070万美元精确到个位数的削减背后,是一家联邦机构被迫砍掉24%的人员编制,从3700人缩到2600人。更关键的是,被裁撤的部门名单读起来像一份"政府不想管了"的清单:选举安全、虚假信息应对、外部协调。
钱从哪来,到哪去
国土安全部(DHS)的预算文件写得清楚:这笔钱要"重新聚焦核心网络安全运营"。翻译成人话——CISA以后少管闲事,专心给联邦政府自己的电脑系统看门。
具体数字拆解如下。保留的14亿美元将投向联邦网络防御和威胁检测,包括保护联邦民用系统、抵御国家级网络攻击。这部分被定义为CISA的"首要使命"。
但消失的7070万美元对应着什么?州和地方选举基础设施拨款、反虚假信息项目、对外协调部门、利益相关方 engagement(参与)团队。DHS的辩护词是:选举安全本就该州政府自己负责,某些信息类项目存在"过度扩张"风险。
裁员地图显示:利益相关方参与、国际协调、风险管理三个部门首当其冲;核心网络安全运营部门受影响较小。
这套说辞的潜台词很直白——协调类、面向公众的项目是"非核心",技术类、后台防御的是"核心"。CISA要从一个连接联邦-州-地方-私营部门的枢纽,退化成联邦政府自己的IT保安。
行业反弹:这不是精简,是甩锅
网络安全咨询与威胁情报公司Bambenek Consulting总裁约翰·班贝内克(John Bambenek)的邮件回复被多家媒体引用:「白宫似乎想让CISA只管联邦政府自己的电脑系统,让州、地方政府和私营行业自生自灭。在国家威胁加剧的当下,这意味着社会抵御敌对政府的能力将减少甚至没有联邦支持。」
专注于网络领域的投资公司Merlin Group首席战略官马修·哈特曼(Matthew Hartman)的评论被截断在原文中,但已披露的部分同样指向一个方向:这笔削减是"战略性的撤退",而非简单的效率优化。
批评者的核心论点集中在两点。第一,网络安全从来不是单点防御,联邦-州-地方-关键基础设施的协作网络一旦被削弱,攻击者会优先打击最薄弱的环节——而州和地方政府的防御能力恰恰是出了名的参差不齐。
第二,"虚假信息"项目的裁撤时机微妙。CISA近年来因涉及社交媒体内容审查而陷入政治争议,2024年大选周期前后多次被共和党议员指控"压制保守派声音"。预算案将此类项目定义为"非核心",既是政策转向,也是政治切割。
技术派vs协调派:CISA的身份危机
这场预算战本质是CISA成立6年来的路线之争。2018年该机构从国土安全部的一个部门升格为独立机构,初衷是填补"9·11"后暴露的协调漏洞——联邦各部门各自为战,关键基础设施保护缺乏统一标准。
升格后的CISA逐渐长出两套肌肉:一套是技术防御(保护.gov域名、发布漏洞警报、运营爱因斯坦入侵检测系统),另一套是协调网络(与州选举官员对接、向关键基础设施运营商发指南、运营联合网络防御协作组织JCDC)。
白宫的预算案相当于说:第二套肌肉是赘肉,割掉。
DHS文件中的"自动化"和"精简运营模式"措辞,暗示着用技术工具替代人际协调的野心。但网络安全领域的残酷现实是:再先进的威胁检测系统,也需要有人去说服州政府IT部门修补漏洞、去协调私营运营商共享攻击指标。
14亿美元的技术预算能买到更先进的防火墙,但买不到被裁掉的1100人积累的关系网络和信任资本。
选举安全领域的反应尤为激烈。2020年大选后,CISA因成功抵御外国干预尝试而获得两党认可,时任局长克里斯托弗·克雷布斯(Christopher Krebs)甚至被特朗普解雇——恰恰因为他公开辟谣选举欺诈指控。如今,曾让他成名的选举安全项目被列入削减名单,完成了一次讽刺的历史闭环。
国际坐标:美国在撤退,别人在进场
预算案发布的时间点值得玩味。欧盟网络弹性法案(Cyber Resilience Act)2024年底生效,强制要求联网设备和软件满足安全基线;英国国家网络安全中心(NCSC)同期扩编,预算连续第三年增长;就连长期被视为网络防御后进生的日本,也在2024年将网络安全厅人员编制翻倍。
唯一在收缩的主要经济体是美国。
这种反差制造了奇怪的地缘政治画面:当盟友们在构建更紧密的公私协作网络时,美国选择拆解自己的网络。CISA的国际协调部门被裁,意味着美国在全球网络规范制定中的声音将减弱——而这套规范长期以来是华盛顿对抗中俄数字影响力的主战场。
技术民族主义者或许会争辩:管好自己就够了。但网络攻击不认国界,勒索软件团伙的服务器可能设在俄罗斯,受害者是堪萨斯州的一家医院;国家级APT组织的跳板节点遍布全球,追踪需要跨国执法协作。CISA的对外协调职能不是慈善,是自我保护的外延。
2600人够用吗?一道算术题
做个粗糙的对比。英国NCSC编制约700人,负责保护政府系统和关键基础设施,同时向私营部门提供建议——其服务的人口是6700万。CISA裁减后2600人,服务人口3.3亿,外加全球最关键的金融市场和技术供应链。
人均负担的悬殊之外,还有职能范围的差异。英国NCSC不直接参与选举安全(由选举委员会负责),而美国的选举分散在50个州、3000多个县,每个都有各自的投票系统和网络安全预算。CISA的选举安全团队曾是这个碎片化体系中最接近"统一标准制定者"的存在。
DHS声称州政府应该自己负责,但现实是:2024年选举周期,多个摇摆州的选举官员公开承认,没有联邦技术支持,他们无法独立完成投票系统的漏洞评估。CISA的"过度扩张"批评者,和抱怨"联邦不管我们"的州官员,往往是同一批人在不同场合的发言。
预算案承诺的"自动化"能否填补1100人的缺口?DHS文件没有给出技术路线图,只给出了目标数字。
更隐蔽的风险在于人才流失。网络安全专业人才市场本就紧张,联邦政府薪资竞争力弱于私营部门,靠的是"使命感"和"影响力"吸引从业者。当CISA从"保护国家关键基础设施"缩编成"保护联邦政府电脑",其雇主品牌价值将直接贬值。被裁的1100人或许能跳槽到谷歌或微软,但留下的2600人是否还能招到同等水平的新人,是个问号。
国会审议环节将是真正的战场。预算案目前只是行政部门的提案,最终拨款需要众议院和参议院批准。2024年的类似尝试中,部分CISA削减提案被两党议员联手阻止,但政治格局已变——共和党在2024年选举后巩固了众议院控制权,对"联邦过度扩张"的批评声音更响。
一个需要观察的信号:科技行业的游说力度。微软、谷歌等公司在CISA的JCDC机制中深度参与,依赖该渠道获取威胁情报和政府协调。如果它们判断CISA的削弱将实质性增加自身合规成本和安全风险,可能会罕见地与民主党议员形成临时同盟。
但截至目前,公开表态的企业声音有限。或许是仍在评估影响,或许是判断游说成功率太低而选择沉默。
当2600人的CISA在2027财年启动时,它面对的网络威胁环境不会比今天更简单。国家级APT组织的活动频率在2024年创下新高,勒索软件支付金额连续第三年增长,关键基础设施运营商报告的入侵尝试数量翻倍。预算削减的数学是清晰的:用更少的钱和更少的人,做更聚焦的事。
问题是,网络安全领域的"聚焦"是否可行?攻击者从不区分联邦网络和州网络、技术系统和人为漏洞、国内威胁和跨国行动。CISA的缩小版使命,与对手的全域进攻策略,是否匹配?
热门跟贴