11月5日,美国众议院批准了1.2万亿美元的基础设施法案,其中19亿美元将被用于提升整个联邦政府内的网络安全水平。美国国会正在权衡一系列网络安全相关的监管提案,虽然提案的前景尚不明朗,但也将反映出美国在网络安全领域的一些监管风向。

长期以来,美国国会一直都对网络安全问题保持关注,尤其在发生重大安全事件之后往往会提出针对性提案。譬如关于选举风险的报道引发了关注投票系统安全的法案,受年初Colonial Pipeline和JBS Foods等目标被勒索软件攻击的推动,国会提出了一系列网络安全提案——虽然部分提案只针对管道公司的网络攻击这一具体问题,但还有很多提案涉及范围广泛,并没有明确地与缓解某一特定的安全漏洞或保护某一具体的行业部门相关。

以下主要盘点了美国近来一些受到关注的提案:

HR3223 - CISA 网络演习法案

该法案建立了国家网络演习计划,以评估美国国家网络事件响应计划以及其他相关计划和战略,运行网络攻击模拟并从中汲取经验。基于当前的风险评估,演习计划旨在:

(1) 模拟因网络事件导致政府或关键基础设施网络部分或完全丧失能力;

(2) 提供系统的网络准备情况评估,并增强对网络事件响应系统和相关信息共享协议的运营理解

(3) 基于吸取的经验教训,制定未来行动的事后报告和计划。

HR1833 - 2021 年 DHS 工业控制系统能力增强法案

该法案要求网络安全和基础设施安全局(CISA)有识别和解决对工业控制系统的威胁的能力。具体而言,该法案要求CISA的国家网络安全和通信集成中心要确保其涉及信息和操作技术的活动的安全,包括工业控制系统。

此外,CISA能够识别和解决关键基础设施流程自动化控制产品和技术中存在的威胁和漏洞,具体包括:

(1) 引导识别和减轻工业控制系统的网络安全威胁的工作;

(2) 保持威胁追踪和事件响应能力,以应对网络安全风险和事件;

(3) 向利益相关者提供网络安全技术援助;

(4) 收集、协调并向工业控制系统社区提供漏洞信息。

CISA还需在规定时间内向国土安全委员会提供关于其工业控制系统能力的简报。

S.2875 - 2021年关键基础设施网络事件报告法

该法案要求关键基础设施所有者和运营商在遇到网络攻击时,在72小时内向CISA报告。该法案还要求,如果关键基础设施所有者和运营商,包括非营利组织、企业、州和地方政府支付赎金,必须在24小时内通知联邦政府。

该法案旨在为关键基础设施所有者和运营商建立强制性网络事件报告框架。法案支持者声称,这一框架将有助于确保CISA收到有关重大事件的可操作信息,同时也让事件响应人员有足够的时间来对入侵进行取证分析并确定其影响。

S.2407 - 2021年网络事件通知法

该法案要求联邦机构、承包商和关键基础设施运营商在发现网络入侵后24小时内上报。确保联邦政府及时了解对国家安全构成威胁的网络入侵,制定国家级网络威胁的通用操作图,并向相关政府和私营部门实体以及公众提供适当的、可操作的网络威胁信息。

与大多数网络安全立法不同,该法案覆盖范围不仅限于数据泄露,还侧重于对国家和经济安全具有最高优先级的组织类型。

S.2274 - 联邦网络安全劳动力扩张法案

该法案是授权CISA建立一个网络安全学徒计划,并在退伍军人事务部 (VA) 内建立一个试点计划,为退伍军人提供网络安全培训。这项两党法案还将通过建立退伍军人事务部的网络培训项目来帮助解决退伍军人社区的劳动力挑战,帮助退伍军人获得高薪、稳定的工作。

随着美国国会出台十几项网络安全法案,新法案旨在增加网络安全资金、改进违规报告、调查加密货币等。对于网络安全监管而言,这都是好消息,但也为监管相对不足的领域带来了新的挑战:如何决定哪些立法重点需要关注。

国会围绕网络安全开展的大量活动表明:现在通过的一系列立法提案由于缺乏明确的重点和对立法内容的共识,很难预测哪一个提案能够真正获得影响力。如果每个人都在倡导自己的法案,立法者会越来越难以就什么是最重要的网络安全优先事项达成协议。

目前正在审议的大多数法案为:网络安全报告要求、关键基础设施保护、劳动力发展以及为州和地方政府提供资金以支持全国网络安全工作。在这些类别中,真正的问题是国会在适用这些政策的对象方面怎么规定

是否会要求所有企业报告网络攻击,还是只要求关键基础设施供应商报告?

是否会要求每个成为勒索软件攻击的受害者上报,还是只要求那些真正决定支付赎金的人上报?

是否会要求关键基础设施供应商满足政府制定的基线安全标准,还是只是让他们选择从国土安全部获得更多的技术援助和威胁情报?

随着越来越多的现行法案被合并和整合,法案的范围正在逐渐收窄,缩小到针对特定群体,并且提出了一些非常明确、重要的要求。

美国国会下一步网络安全议程是什么?在网络安全方面投入大量资金并实施政策措施是必然的,但考虑到过去的索尼影业事件、人事管理办公室漏洞事件、2016年选举干预以及剑桥分析事件……这些事件都曾促使美国下决心认真对待网络安全问题和通过重要法规,但到最后都没有重大的实质性改变。因此,美国仍缺乏下一步对网络安全和数据保护的明确议题,需要对这一范围的监管建立更清晰的愿景。

来源:The Record

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。