特朗普把網(wǎng)安外包給私企：3.2萬家公司的豪賭

美國企業(yè)去年為勒索軟件支付了11.35億美元贖金，創(chuàng)歷史新高。與此同時，發(fā)起攻擊的國家級黑客幾乎從未被追責——這種不對等持續(xù)了太久。

5月發(fā)布的特朗普政府《國家網(wǎng)絡安全戰(zhàn)略》試圖打破僵局。文件核心就一句：讓私企上前線，政府做后盾。Trellix首席公共政策官在解讀時打了個比方——過去是企業(yè)獨自守城，現(xiàn)在是開門放援軍進城。

從"別添亂"到"一起上"

奧巴馬和拜登時期的網(wǎng)安策略偏向監(jiān)管驅動。企業(yè)被視作需要管束的對象，合規(guī)清單越拉越長，實際攻防卻各干各的。

特朗普團隊的方向截然相反。新策略明確將網(wǎng)絡安全嵌入國家安全大框架，軟手段必須有硬實力兜底。用Trellix高管的話說，這是"從謹慎轉向激進，從全面監(jiān)管轉向精簡規(guī)則加硬實力"。

具體怎么變？司法部將加大對網(wǎng)絡犯罪的調查和定罪力度，政企協(xié)作從"鼓勵"變成"預期"。攻擊者要重新算賬了——以前算的是企業(yè)防御成本，現(xiàn)在得把政府報復也算進去。

但有個前提被反復提及：私企得有"工具、人才和技能"才能真起作用。

3.2萬家關鍵基礎設施運營商的困境

美國約有3.2萬家關鍵基礎設施運營商，從電網(wǎng)到醫(yī)院，從水務到金融。它們長期面臨一個悖論：被攻擊時第一個扛雷，反擊時卻束手束腳。

法律模糊地帶太多。企業(yè)主動追蹤黑客，算不算越權？共享攻擊數(shù)據(jù)，會不會暴露客戶隱私？反擊行為，在哪些司法管轄區(qū)合法？

新策略承諾"精簡現(xiàn)有監(jiān)管"，但沒說怎么精簡。Trellix方面直言，有意義的合作需要解決"真實世界的約束"——翻譯成人話：總法律顧問們要看到明確的責任邊界，才敢簽字。

一個細節(jié)很說明問題。文件提到"確保美國人得到適當保護"，卻沒定義"適當"的標準。是GDPR式的嚴格，還是行業(yè)自律式的靈活？留白了。

硬實力到底是什么

策略文件里"硬實力"出現(xiàn)多次，但具體指什么，解讀空間很大。

可能是網(wǎng)絡司令部的進攻性行動——直接癱瘓攻擊者的基礎設施。可能是金融制裁，凍結黑客及其庇護國的資產(chǎn)。也可能是情報共享的升級，讓企業(yè)在攻擊發(fā)生前拿到預警。

Trellix高管的措辭值得玩味：軟手段"必須有硬實力支撐"。這不是說硬實力要天天用，而是要讓對手相信"真的會來"。

威懾的邏輯從來如此。冷戰(zhàn)時期核威懾靠的不是發(fā)射按鈕，是對方相信你會按。現(xiàn)在網(wǎng)安領域要復制這套，問題是：網(wǎng)絡攻擊的歸因比核導彈慢得多，報復的正當性也更難論證。

IT和OT的裂縫

策略文件特意區(qū)分了IT（信息技術）和OT（運營技術）環(huán)境。前者是辦公系統(tǒng)、數(shù)據(jù)庫，后者是工業(yè)控制系統(tǒng)、電網(wǎng)調度、醫(yī)療設備。

攻擊OT的門檻更高，但破壞力呈幾何級數(shù)。2021年科洛尼爾管道事件，黑客沒直接碰輸油系統(tǒng)，只是加密了IT端的計費數(shù)據(jù)，就導致美國東海岸燃油短缺。

新策略把兩者并列表述，暗示私企的參與范圍要擴大。但OT系統(tǒng)有個特點：很多設備運行了二十年，打補丁都可能崩。讓私企"積極防御"，會不會變成"積極搞癱"？

制造業(yè)和能源行業(yè)的CISO（首席信息安全官）們，此刻大概在反復研讀文件措辭。

集體回應的模糊地帶

"集體回應"是策略文件的關鍵詞，也是最難落地的部分。

誰發(fā)起？政府還是企業(yè)聯(lián)盟？針對什么級別的攻擊？勒索軟件算嗎，還是只針對國家級APT（高級持續(xù)性威脅）？回應手段有上限嗎？

國際法對網(wǎng)絡戰(zhàn)的定義本就模糊。2017年《塔林手冊》試圖填補空白，但只是學者建議，不具約束力。美國這次單邊推進"集體回應"，等于在灰色地帶自己畫線。

盟友跟不跟是另一回事。歐盟的《網(wǎng)絡彈性法案》還在加碼監(jiān)管，和美國方向相反。如果一家跨國企業(yè)同時受兩套規(guī)則約束，合規(guī)成本可能不降反升。

私企的算盤

網(wǎng)絡安全公司對新策略的態(tài)度，表面熱情，實際謹慎。

商機顯而易見。政府要"賦能"私企，預算和合同會跟來。Trellix作為端點安全廠商，直接受益于"更多協(xié)作"的表述。

但風險同樣真實。如果政企綁定過深，海外業(yè)務怎么辦？俄羅斯、中國市場的客戶，會不會把美國安全廠商視為"政府延伸"？

更微妙的是責任問題。策略說要"適當保護"美國人，如果私企的"積極防御"誤傷了無辜，算誰的？政府背書能豁免多少法律責任？

文件沒給答案。Trellix高管的表態(tài)留了余地：合作需要"解決真實世界的約束"。

時間線：從紙面到戰(zhàn)場

策略發(fā)布只是起點。接下來要看幾個節(jié)點：

一是監(jiān)管精簡的具體清單。哪些奧巴馬、拜登時期的規(guī)則會被砍掉？行業(yè)游說已經(jīng)開始了。

二是司法部的高調案例。策略說要"更多調查和定罪"，需要幾個標志性審判來立威。

三是OT領域的試點。哪個關鍵基礎設施 sector 會最先測試"私企上前線"模式？電網(wǎng)、水務還是醫(yī)療？

四是國際反應。如果美國企業(yè)真的對境外黑客基礎設施發(fā)起反擊，被攻擊國會不會視為國家行為？

Trellix方面的判斷是，這種"前傾姿態(tài)"能改變對手的計算方式。但改變需要多久，沒人知道。

一個被忽略的數(shù)字

策略文件通篇沒提預算。

網(wǎng)絡司令部的進攻能力、FBI的調查資源、CISA（網(wǎng)絡安全和基礎設施安全局）的協(xié)調職能，都需要錢。特朗普政府同時在大規(guī)模削減聯(lián)邦開支，錢從哪來？

可能的解釋是"以私養(yǎng)公"——通過采購和合同，讓私企承擔更多成本。但這和"精簡監(jiān)管"的敘事有點矛盾：如果企業(yè)要花錢滿足政府的新要求，算不算變相加稅？

另一個可能是情報預算的重新分配。NSA（國家安全局）的網(wǎng)絡行動資金從不公開，策略里的"硬實力"或許主要靠這塊。

無論如何，3.2萬家關鍵基礎設施運營商的CISO們，接下來幾個月要開的會，大概比過去一年都多。

策略文件最后一句寫道："這種前傾姿態(tài)能改變對手計算。"但改變誰的計算——黑客的，還是企業(yè)高管的，抑或選民對"網(wǎng)絡安全"這個詞的麻木？第一個測試案例出現(xiàn)時，答案才會清晰。