前美國國土安全部長首度訪臺，分享從國土安全部學到如何降低風險的經驗

在美國總統歐巴馬時代，曾擔任5年國土安全部（DHS）部長暨美國加州大學柏克萊分校政治安全中心創辦人Janet Napolitano首度訪臺，她之前也曾經在加州大學擔任校長7年，擁有十個研究機構，研究重點專注於美國安全和政治之間的聯繫，也會和領先的業者與一流的研究人員共同解決當今需迫切解決的挑戰，並鞏固臺灣和加州大學柏克萊分校彼此的合作關係。

Janet Napolitano在5月9日舉辦的臺灣資安大會2023中致詞表示，隨著各種搜尋引擎和社交媒體的發展，不僅讓東西方社會交流越來越密切，也同時出現許多有害的資安漏洞和威脅，因此，她認為，應該關注的不是網路攻擊的威脅本身，而是如何減輕網路風險的脆弱性。

她也以當年國土安全部（DHS）在全美推廣的“See Something Say Something”（一看到、就通報）活動為例，通報可疑的人事物可以降低實體社會面臨的風險，也同樣適用於網路環境，Janet Napolitano認為，即便無法降低網路威脅，也可以減輕這些威脅帶來的風險。

打造關注網路與關鍵基礎設施安全的CISA

國土安全部（DHS）擁有超過25萬名員工和大約15萬名承包商，當時的預算為 600億美元，並在全球120多個國家設有辦事處和業務單位。她表示，國土安全部是美國政府中最年輕的部門，也是第三大部門，因為它是在911恐怖襲擊之後才成立的新單位。

Janet Napolitano表示，毫無疑問，世界正在普遍轉向亞洲，從網絡安全的角度來看也是如此。她說，隨著區域大國成長為全球大國，隨著各種新技術、新創新和新發現在亞洲市場的出現，加上各種搜尋引擎和社交媒體蓬勃發展，讓東西方社會交流越來越緊密，在此同時，也出現更多有害的資安漏洞和威脅，例如在烏俄戰爭就可以觀察到，網路攻擊行為早於實體戰爭，由此可見，網路上面臨的各種風險更國際化也更普遍。

Janet Napolitano認為，我們應該關注的不應該是網路攻擊的威脅本身，而是如何做到減輕網路風險的脆弱性。她說，在美國，國土安全部的基本職能之一就是：如何做到從各種危害中復原，而在網路安全領域中更是如此。

所以，她在任職國土安全部部長時，更打造一個全新的機構：CISA（美國網路安全部門），主要專注在網路安全以及關鍵基礎設施安全，希望可以透過不斷的測試（Testing）、探測（Probing）和演練（Exercising），減少各種已知和未知的漏洞。

管理可以控制的東西，做到提前部署和因應

網路威脅無所不在，但應該要有適當的國際法或國內法規範相關的威脅行為，她說：「我們無法控制對手、罪犯、國家或三者之間任何的合作的行為，也沒有切實可行的方式，對某一個國家、社區、城市或實體單位放置一個防護罩免於網路威脅。」

不過，她從過往的經驗發現，不管組織防護多麼強大，都會有一個可以突破、入侵的對手；而無論怎麼做，對手也都有辦法突破安全邊界。那我們又該怎麼做呢？「重點是：管理我們可以控制的東西。」她說。

我們無法管理各種天災，面對極端氣候變遷時，卻可以事先做好準備、提前部署緊急應變能力，並對大眾通報風險以及快速做好應變以度過難關。「這同樣適用於網路威脅的應變方式。」Janet Napolitano指出，因為我們無法抑制所有的威脅，所以我們需要部署適當的緩解工具以減少攻擊向量，並需要對公、私部門以及任何脆弱的實體單位進行事前準備和復原的教育訓練，才能夠從攻擊中做到有效率的復原。

她指出，這樣的作法聽起來像是將複雜問題過度簡單化，認為穩健的緩解措施和增加韌性，就可以有效解決網路安全威脅。但事實上，這樣的作法是有先例發生的。

全美發起「一看到、就通報」活動，同樣適用網路環境

當Janet Napolitano在擔任國土安全部部長時，同時面對美國本土威脅日益擴散，也要應對恐怖主義和國際犯罪的相關風險，她坦言：「我們永遠沒有辦法擁有足夠的資源，也沒有辦法讓任何一個單一政府組織免於所有的威脅，」所以，我們更應該思考如何更努力去保護國土安全。

Janet Napolitano指出，美國國土安全部後來便透過群眾外包（crowdsource）的方式，在全美各地招募美國民眾進行降低風險威脅的準備工作，發起一項現在很普及（ubiquitous）的活動，並命名為“See Something Say Something”（一看到、就通報）。

也就是說，一旦發現周遭有任何的可疑人事物，就應該立即通報有關當局，最早十多年前紐約市大眾交通系統曾出現類似活動，後來則推廣到全美各地，而國土安全部每年也都會收到大量可疑人事物的通報，重點是，多數時候，這些通報都是可行的。

她目前無法了解後來「一看到、就通報」的活動，究竟降低多少風險，但在擔任國土安全部部長時，這些可疑通報的數量非常龐大。這也讓她回到網路和基本前提就是：雖然無法降低網路威脅，卻可以減輕這些威脅帶來的風險。意即，我們可以做表面上看起來很簡單，但卻可能會產生巨大後果的事情，「制定攻擊計畫，就是一件類似的事情。」她說。

例如，可以使用系統進行適當的網路衛生（cyber hygiene）；動員公私部門和民間社會，做好一般的準備工作；並向相同的受眾傳遞做好網路安全最佳實務的注意事項；並擁有適當的防禦工具以擊退某種網路攻擊等。她表示，上述所有這些事情看起來都很簡單，幾乎都是基本的，但作為處理網路安全風險的標準而言，它們卻經常被忽視。

如先前所言，Janet Napolitano認為，我們應該努力控制可以控制的事情，同時關注不能控制的事情，像是「一看到、就通報」在活動之初並不直觀，但就算到現在，這個活動也一直致力於讓美國更安全。

她也相信，應該要努力讓可以控制的事情，儘可能成為最佳狀態，而這在緩解網路風險的世界裡，是可能發生的。「畢竟，我們每個人都有責任要確保社區和網路的安全。」她說。