前情回顾·美国关基行业安全大跃进
安全内参5月13日消息,为了保护关键基础设施,拜登政府正在修改一份十年前的总统令。官员和专家表示,面对不断变化的网络世界,这条2013年发布的总统令亟需修改。美国政府或将采取新的措施,进一步保护银行、能源、农业等领域关键目标免受潜在的网络攻击。
本周三,美国网络安全与基础设施安全局(CISA)局长Jen Easterly在“Hack the Capitol”会议上说:“如何管理这些保护措施已经发生了变化,而且将会继续发生变化。Colonial管道等事件让我们更好地认识到保护关键基础设施的重要性。”Colonial管道公司是美国东海岸主要燃料供应商,曾在2021年遭到勒索软件攻击。她说:“我们仍然非常容易受到来自对手的严重威胁,”
从过去到现在
去年11月,拜登政府首次向国会发出信号,计划修改2013年21号总统令“关键基础设施安全与弹性”(简称PPD-21)。PPD-21已经实施了超过两届总统任期,取代了小布什政府时期的另一条总统令。旧总统令详细规定了16个关键基础设施行业分别由哪些机构负责保护,这些机构被称为行业风险管理机构。
PPD-21在保留了布什政府备忘录大体结构的基础上,进行了一些修改,比如要求更新国家基础设施保护计划,以详细说明应采取哪些具体措施加强关键基础设施防御。
值得注意的是,奥巴马政府发布PPD-21时,CISA尚未成立。2021财年国防政策法案要求CISA承担一些行业风险管理机构的责任,而拜登政府表示将进一步厘清CISA的角色。
拜登总统在去年11月的备忘录中写道:“更新的政策将加强公私合作伙伴关系,并将明确指导行政部门和机构如何确定系统性、重要性关键基础设施。它还将澄清行业风险管理机构和CISA的角色、责任和服务,从而协调全国范围内的力量,有效防范关键基础设施风险。”
CISA、国家网络总监办公室和国家安全委员会等机构正在共同修改PPD-21。Easterly表示:“我们正在研究,如何评估各个行业,决定是否某些行业值得保留,确定是否要增加太空行业或其他行业。”
一旦联邦政府认定某个行业为关键基础设施行业,联邦主管机构将更关注该行业的网络安全,并加强与该行业的协调合作。
代理国家网络总监Kemba Walden最近会见了太空产业官员,讨论是否应将太空行业认定为关键基础设施行业。一些人认为,太空公司已经属于一个或多个现有关键基础设施行业的范畴。
Easterly还表示,CISA已经完成了《国家基础设施保护计划》的初步修订,待PPD-21修改完成后就可以定稿。
改进幅度未知
然而,美国国会成立的网络空间日光浴委员会(CSC)及其继任组织CSC 2.0的执行主任Mark Montgomery表示,政府无需等待PPD-21,应该尽早发布更新的《国家基础设施保护计划》。
他在“Hack the Capitol”会议上说,现有计划下的具体行业计划“都是垃圾”。大部分计划像是复制粘贴的产物,只是改了具体行业的名称。并且也没有任何一个计划提到CISA,因为CISA是根据一项国会法案在2018年11月才设立。
Mark Montgomery认为,PPD-21和《国家基础设施保护计划》都需要更加频繁地进行更新。“十多年都不更新,就不配叫新兴技术文件。”他担心文件更新可能无法很快完成。虽然政府已表示将于九月完成 PPD-21 的修订,问题是“哪个九月?”
值得注意的是,太空和云计算都不在关键基础设施行业的名单上。Mark Montgomery还指出了其他重大缺陷,比如负责特定行业的机构和对应关键基础设施行业之间的威胁信息共享不到位,对某些非常小众行业的风险管理机构的拨款是否合理,等等。他还提出了许多其他批评,这为拜登政府在 PPD-21 的修订上设定了很高的门槛。
参考资料:https://www.washingtonpost.com/politics/2023/05/11/presidential-critical-infrastructure-protection-order-is-getting-badly-needed-update-officials-say/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。