美国政府就如何落实网络安全战略发布路线图

美国政府周四发布了一份分阶段的方案,对如何执行直至2026年的国家网络安全战略做出了规划,包括落实网络政策中某些关键环节的时间框架。

拜登(Joe Biden)政府周四发布了一份分阶段的方案,对如何执行直至2026年的国家网络安全战略做出了规划,包括落实网络政策中某些关键环节的时间框架。

美国的国家网络安全战略于今年3月份发布,其中列出了一份详尽的网络安全优先事项清单,涵盖了保护关键基础设施等国内关注的问题以及国际事务等内容,并提出了联合打击网络犯罪的建议。周四的部署方案列出了白宫指定的负责具体任务的机构,以及完成任务的时间表。

代理国家网络总监Kemba Walden周三在与记者的电话会议中表示:“如果说这项战略代表了总统对未来的愿景,那么实施方案就是实现该目标的路线图。”除联邦机构外,方案中还涉及到商业部门。被美国政府认定为关键基础设施的16个领域主要由私营部门运营,涉及医疗健康、金融服务、能源和制造业等行业。

与此同时,企业料将被要求满足联邦机构制定的新标准。例如,美国证券交易委员会(Securities and Exchange Commission, 简称SEC)正在制定一系列规定,将对上市公司提出事件报告要求。这些规定还旨在审查董事会对网络风险的监督。美国联邦贸易委员会(Federal Trade Commission, 简称FTC)和美国食品药品管理局(Food and Drug Administration, 简称FDA)也希望在隐私执法和医疗设备安全方面施展拳脚。

企业最担心的是白宫和监管机构的规定可能相互重叠甚至冲突,需要不同的流程和时间表来满足。美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)将于2025年底发布关键基础设施运营商事件报告的最终规定。

其他方面,美国司法部正在制定跨境联合打击网络犯罪的立法提案。一位政府高级官员在周三的电话会议上说,一些提案已送交国会。Walden表示,上述计划的其他部分已完成或接近完成。其中包括制定网络人才战略和立法提案,这将赋予网络安全评估委员会(Cyber Safety Review Board)调查重大网络攻击的法律权力,这两项提议将于本季度提交。网络安全评估委员会是一个联邦机构,参与者包括私营部门的代表。Walden表示:“我承认我们雄心勃勃,但我也知道,在这个办公室里我们能够雷厉风行。”Walden说,她希望私营部门能积极参与该计划细节的制定。例如,国家网络总监办公室计划在2024年第二季度就制定软件责任框架召开一次会议。该办公室希望软件制造商为其产品中的安全问题负责,这让科技公司感到不安。届时会议将邀请学术界和“公民社会”的人士参加。

国家网络总监办公室还计划最晚明年年初成立一个开源软件安全工作组,旨在提升这一领域的安全底线。2021年圣诞节期间,商业软件中普遍使用的开源项目Log4j的一个漏洞被公开,引发了对该漏洞的匆忙修复,也引起了美国政府对开源安全问题的更多关注。零售和酒店信息共享与分析中心(Retail and Hospitality Information Sharing and Analysis Center, 简称RH-ISAC)总裁Suzie Squier说,政府推动科技公司打造更安全的产品,这将有助于遏制供应链网络攻击。RH-ISAC是一家帮助零售和酒店领域公司交换网络威胁信息的非营利组织。引人注目的供应链攻击往往是利用软件漏洞发起的,例如最近多个文件共享服务遭遇的入侵事件。Squier说,业内对提高软件安全性的计划表示支持,一定程度上也是为了避免被迫紧急修复漏洞的局面。她指出:“只要Log4j那一幕不重演,我们做什么都可以。”美国金融服务信息共享与分析中心(Financial Services Information Sharing and Analysis Center)首席执行官Steven Silberstein表示,美国政府的计划雄心勃勃,将加强公共机构向企业提供的网络安全指导。威斯康星州共和党众议员Mike Gallagher和缅因州独立派参议员Angus King表示,他们想看到一份年度的执行计划和严格的截止日期。这两人曾共同领导颇具影响力的网络空间日光室委员会(Cyberspace Solarium Commission),后者曾协助重塑美国的网络政策,现已解散。这两位议员在一份联合声明中说:“如果说过去20年我们从政府身上学到了些什么,那就是‘执行与愿景同样重要’,涉及到网络安全战略,如果计划得不到妥善执行,那就注定会失败。”Walden表示,这项计划在设计上就是要不断发展的,每年都会发布迭代版本。

original post