刚通过的基础设施法案包含19亿美元的网络安全预算,更多资金将随“重建更美好未来”(Build Better World)等其他议案的通过不断涌入网络安全领域。
11月5日,美国国会通过了拜登签署的万亿《基础设施投资和就业法案》。这项具有里程碑意义的法案不仅有望大规模升级美国的老旧基础设施,还将增加19亿美元的政府网络安全支出。
法案中包含一项10亿美元的拨款计划,用于帮助美国各州、地方、部落和属地政府免遭恶意黑客攻击,以及现代化各个系统以保护敏感数据、信息和公共关键基础设施。从2022财年开始的四年内,在美国网络安全与基础设施安全局 (CISA)作为行业专家的指导下,负责运营美国国土安全部(DHS)现有拨款计划的美国联邦应急管理局(FEMA)将陆续提供这笔资金。
该法案还纳入了《2021年网络响应与恢复法》,授权在五年时间里拨款1亿美元用于帮助美国政府快速响应网络安全入侵事件。另一项值得一提的举措,是为新设立的美国国家网络总监(NCD)办公室拨款2100万美元,用于聘用合格人员支持其基本网络安全任务。而若公共供水系统因受网络攻击影响而降级或不可用,则该法案还要求美国环境保护局(EPA)和网络安全与基础设施安全局 (CISA)判定此情况是否会严重影响公众健康与安全。
在基础设施法案等待总统签署之际,拜登支持的另一项重要立法——面向社会支出的1700页Build Back Better议案,有望进一步增加网络安全支出。该议案包含拨给CISA的至少5亿美元网络安全资金,其中1亿美元用于保护不被视为“国家安全系统”的联邦民用系统。
Build Back Better议案还包括用于云安全的5000万美元、用于工业控制系统(ICS)安全的5000万美元,以及用于支持州、地方和部落政府迁移到.gov域名的2000万美元。然而,由于认为该议案在扩大社会安全网方面走得太远,两名参议员强烈反对通过该议案,扬言要破坏该议案通过,因此该议案是否能获得通过的前景尚不明朗。
仅一项其他网络安全议案得以立法
除了以上重要立法,自上次国会换血以来,美国国会一直忙于讨论各项网络安全议案。总的来说,今年1月美国第117届国会宣誓就职以来,已经提出了321项完全或部分涉及网络安全的议案。
在这些议案中,只有一项网络安全议案,即2021年K-12网络安全议案,获批立法。这项议案由参议员Gary Peters(密歇根州民主党)提出并由拜登总统于10月8日签署,要求CISA“研究中小学面临的网络安全风险并给出建议措施,其中包括旨在帮助学校应对这些风险的网络安全指南”。
值得关注的其他网络安全议案
自7月下旬以来,立法者提出了大约70项涉及网络安全的新议案。其中值得密切关注的有以下几项:
H.R. 5186,《 网络安全与基础设施安全局领导法案》(CISA Leadership Act)。该议案由众议员Andrew Garbarin(纽约州共和党)发起,旨在防止CISA陷入动荡(特朗普曾因要重申总统选举安全性而解雇其首任局长克里斯·克雷布斯(Chris Krebs))。这项拟议法案规定CISA局长职位的任期为五年,并重申该职位应由总统提名并经参议院批准。
S. 2875,《2021年网络事件报告法》(Cyber Incident Reporting Act of 2021)。参议员Gary Peters(密苏里州民主党)发起了这项议案,旨在设立网络事件报告时间表,包括要求某些组织在24小时内报告支付勒索软件赎金的情况。该议案还要求关键基础设施的所有者和运营商在72小时内向CISA报告网络安全事件。
H.R. 3599,《2021年联邦网络劳动力轮岗计划法案》(Federal Rotational Cyber Workforce Program Act of 2021)。该项议案由众议员Ro Khanna(加利福尼亚州民主党)发起,并于9月30日获得众议院通过,如今正待参议院批准。该法案旨在建立网络劳动力轮岗计划,让某些联邦雇员可以切实了解其他机构网络劳动力轮岗职位的工作。
S. 2902,《2021年联邦信息安全现代化法案》(Federal Information Security Modernization Act of 2021)。参议员Gary Peters(密歇根州民主党)发起了这项立法,鉴于今年早些时候发生了多起网络攻击,该立法旨在改善美国联邦网络安全。此外,该法案明确了CISA在网络安全事件响应的作用,并要求联邦机构向CISA和国会报告重大攻击,确保CISA是网络安全事件响应工作的牵头机构。
H.R.3919,《安全设备法》(Secure Equipment Act)。众议员Steve Scalise(洛杉矶共和党)提起了这项议案,众议院于10月20日以压倒性多数票通过此议案,并一致同意不经修正便提交给参议院。该法案要求联邦通信委员会(FCC)制定规则,规定该机构不再审查或批准对隐蔽通信设备或服务清单上设备的任何授权申请。此清单列出了FCC确定为对国家安全或美国公民的安全构成不可接受风险的设备或服务。
H.R.4067,《通信安全、可靠性和互操作性委员会法案》(Communications Security, Reliability, and Interoperability Council Act)。该法案由众议员Elissa Slotkin(密歇根州民主党)发起,要求FCC永久设立一个委员会,就提高电信网络的安全性和可靠性提出建议。众议院于10月20日通过了该法案。
H.R. 4611,《2021年国土安全部软件供应链风险管理法案》( DHS Software Supply Chain Risk Management Act of 2021)。该议案由众议员Richard Torres(纽约州民主党)发起,于10月20日在众议院获得通过,并为参议院所接受,提交至国土安全与政府事务委员会。议案要求国土安全部管理理事会发布指南,规范与信息和通信技术或服务采购相关的新合同和现有合同。此外,拟议法案要求联邦承包商向国土安全部提交材料清单和证明,表明材料清单中的每个项目都不存在特定安全漏洞或缺陷,不会影响最终产品或服务的安全。法案还要求通告任何已发现的漏洞或缺陷,并制定缓解、修复或解决任何已发现漏洞或缺陷的计划。
H.R. 5491,《具有系统重要性的关键基础设施保护法案》(Securing Systemically Important Critical Infrastructure Act)。由众议员John Katko(纽约州共和党)发起的这项议案旨在建立一套流程,帮助指定具有系统重要性的关键基础设施(SICI)。法案还进一步指示CISA重视SICI所有者和运营商的实际利益,在不增加额外负担的情况下加强他们与联邦政府之间的风险管理协调。
S. 3099,《2021年联邦安全云改进和就业法案》(Federal Secure Cloud Improvement and Jobs Act of 2021)。该法案由参议员Gary Peters(密歇根州民主党)发起,旨在将联邦风险与授权管理计划(FedRAMP)编入法典,从而帮助各机构加速采用云服务。法案还要求总务署在一年内开始自动化FedRAMP安全评估与审查,并持续监测云计算产品和服务。
H.R. 3462,《小型企业管理局网络意识法案》(SBA Cyber Awareness Act)。该法案由众议员Jason Crow(科罗拉多州民主党)发起,要求小型企业管理局(SBA)发布关于其网络安全能力的报告,并在网络安全事件可能危及敏感信息时通知国会。众议院于11月3日一致通过了该法案。
H.R. 4515,《2021年小型企业发展中心网络培训法案》(Small Business Development Center Cyber Training Act of 2021)。该法案由众议员Andrew Garbarino(纽约州共和党)发起,要求小型企业管理局(SBA)制定计划,将至少5%或10%的小型企业发展中心员工培训合格,向小型企业提供网络安全规划援助。众议院于11月2日通过了该法案。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。