编者按

美国政府2月21日发布《关于修订与保护美国船舶、港湾、港口和海滨设施有关法规的行政命令》,旨在通过制定加强该领域网络防御的新要求来改善海事安全,同时扩大美国海岸警卫队应对网络安全事件的权限。

该行政命令增强了美国土安全部直接应对海上网络威胁的权力,包括通过网络安全标准确保美国港口网络和系统的安全。该行政命令明确赋赋予海岸警卫队以下七项权利:一是在必要时阻止任何人员、物品或事物,包括任何数据、信息、网络、程序、系统或其他数字基础设施,登上或被带上或放置在任何船只上,或进入或被带入或任何海滨设施之上或放置于其中或之上;二是建立安全区并限制人员或船舶进入安全区,限制人员在安全区内的任何船舶上登上、取走或放置任何物品或物品,包括任何数据、信息、网络、程序、系统或其他数字基础设施,限制人员在安全区内任何海滨设施上拿走或放置任何物品或物品;三是在美国管辖范围内,检查和搜查任何船舶、海滨设施或安全区,或任何人员、物品或事物,包括任何数据、信息、网络、程序、系统或其上或其中的其他数字基础设施,在任何此类船只、海滨设施或安全区上设置警卫人员,并从其中移走未被授权进入或留在其中的任何及所有人员、物品或事物,包括任何数据、信息、网络、程序、系统或其他数字基础设施;四是必要时在管辖下的美国领海内,监督和控制任何船只的移动,并完全或部分占有或控制任何船只或其任何部分;五是签发或撤销海岸警卫队港口安全卡;六是规定与海滨设施和港口船舶安全有关的条件和限制,相关条件和限制可扩大但不限于此类船舶和海滨设施的检查、操作、维护、守卫、配备以及防火措施;七是在必要时阻止任何船舶停泊在码头、船坞、桥墩或其他海滨结构上,或强制该船舶从任何此类码头、船坞、桥墩或其他海滨结构转移。此外,该行政命令还规定以下三项义务:一是向联邦调查局、网络安全和基础设施安全局和港口长官或其各自代表报告涉及或危及任何船舶、港湾、港口或海滨设施(包括其上或其中的任何数据、信息、网络、程序、系统或其他数字基础设施)的破坏、颠覆活动或实际或威胁的网络事件的证据;二是船舶或海滨设施的船长、所有人、代理人或经营者采取一切必要的预防措施来保护船舶、海滨设施和货物免遭破坏,包括其上或其中的任何数据、信息、网络、程序、系统或其他数字基础设施;三是船舶或其他海滨设施的船长、所有人、经营者和代理人负有保护和保障此类船舶或海滨设施的主要责任,包括任何数据、信息、网络、程序、系统或其他数字基础设施。

美国海岸警卫队也针对性开展三项行动:一是发布一项海事安全指令,针对位于美国商业战略海港的船岸起重机的所有者和运营商采取网络风险管理行动;二是更新发布一项海事公告,提醒海事利益相关者注意海事港口设备、网络、操作系统、软件和基础设施的潜在漏洞;三是发布关于海上运输系统网络安全拟议规则制定通知,旨在通过建立符合国际和行业认可标准的最低网络安全要求来加强海上运输系统控制系统和网络来最好地管理网络威胁。

奇安网情局编译有关情况,供读者参考。

美国政府2月21日发布《关于修订与保护美国船舶、港湾、港口和海滨设施有关法规的行政命令》,以加强美国港口的安全,同时采取一系列其他行动,加强海上网络安全、强化供应链并加强美国工业基础。

美国白宫就此发布声明称,美国的繁荣与海上贸易以及构成国家海上运输系统(MTS)的港口、码头、船舶、水道和陆侧连接的综合网络直接相关;该复杂系统每年支持价值5.4万亿美元的经济活动,为超过3100万美国人提供就业机会,并支持近95%进入美国的货物;在日益复杂的威胁环境中,关键基础设施的安全仍然是国家的当务之急;MTS所有者和运营商依靠数字系统来实现其运营,包括船舶导航、货物运输、工程、安全和安保监控;上述系统通过提高将货物推向市场的速度和效率,彻底改变了海运业和美国供应链,但美国经济和供应链日益增强的数字互联性也带来了漏洞,如果被利用,可能会对美国的港口、经济和日常辛勤工作的美国人产生连锁影响;当天行动是美国总统拜登致力于投资美国、确保国家供应链安全以及加强我国关键基础设施网络安全以应对21世纪威胁的明确例证。

赋予海岸警卫队获得更大络安全权力的行政命令

该行政命令增强了美国土安全部直接应对海上网络威胁的权力,包括通过网络安全标准确保美国港口网络和系统的安全。美国海岸警卫队将拥有明确的权力,通过要求船只和海滨设施缓解可能危及船只、设施或港口安全的网络状况,对国家海上运输系统(MTS)中的恶意网络活动做出反应。该行政命令还将强制报告危及任何船只、港湾、港口或海滨设施的网络事件或主动网络威胁。此外,海岸警卫队现在将有权控制对美国海事基础设施构成已知或可疑网络威胁的船只的移动,并能够检查对美国网络安全构成威胁的船只和设施。

美国海岸警卫队是国土安全部内唯一的军事组织。美国海岸警卫队长期以来有权对已知构成网络威胁的船只进行干预,新的行政命令巩固了海岸警卫队的权力和义务。

海岸警卫队的新海事安全指令和海事公告

美国海岸警卫队将发布一项海事安全指令,针对位于美国商业战略海港的船岸起重机的所有者和运营商采取网络风险管理行动。相关起重机的所有者和操作员必须承认该指令,并对这些起重机以及相关的信息技术(IT)和操作技术(OT)系统采取一系列行动。美国白宫称,这一行动是保护海事基础设施数字生态系统的重要一步,并解决了今天发布的更新版美国海事公告《2024-002–全球外国对抗性技术、物理和网络影响》中发现的多个漏洞。该海事公告旨在提醒海事利益相关者注意海事港口设备、网络、操作系统、软件和基础设施的潜在漏洞。

制定船舶最低网络安全要求的拟议规则

美国海岸警卫队发布了关于海上运输系统网络安全拟议规则制定通知(NPRM)。美国白宫表示,恶意网络攻击者每天都试图未经授权访问全国各地的MTS控制系统和网络。该拟议规则将通过建立符合国际和行业认可标准的最低网络安全要求来加强这些数字系统,以最好地管理网络威胁;这些行动建立在国土安全部先前采取的行动(包括运输安全管理局采取的行动)的基础上,并反映了政府利用监管要求来保护关键基础设施的承诺。

该NPRM重点是为悬挂美国国旗的船只、外大陆架设施以及受《2002年海上运输安全法》监管的美国设施制定最低网络安全要求。该NPRM指出,相关规则不适用于悬挂外国国旗的船只,因为将其纳入国内法“可能会对国际舞台上正在进行和未来解决海上网络安全问题的外交努力产生意想不到的后果”。该NPRM指出国际海事组织(IMO)已经制定的网络安全措施应有助于防范来自悬挂外国国旗的船只的相关威胁。

该NPRM就一系列新的监管要求征求公众意见,以应对海运业当前和新兴网络安全威胁。这些拟议要求涉及账户安全措施、设备安全措施、数据安全措施、治理和培训、风险管理、供应链管理、弹性、网络分段、报告和物理安全。

美国海岸警卫队正在就报告网络事件的两种替代潜在监管措施征求意见。一种选择是,海岸警卫队将要求立即选择免费电话号码向国家响应中心(NRC)报告可报告的网络事件。没有物理或污染影响的网络事件也可以通过report@cisa.gov或1-888-282-0870直接向美国网络安全和基础设施安全局(CISA)报告。所有此类报告将在NRC和CISA Central间共享,并满足向海岸警卫队报告的要求。

在第二种选择中,美国海岸警卫队可能要求根据《2022年关键基础设施网络事件报告法案》(CIRCIA)的规定,或根据CISA正在制定的法规,在72小时内向CISA报告可报告的网络事件。海岸警卫队还就是否应按照CIRCIA的规定要求报告勒索软件事件征求意见。

附行政命令全文:

关于修订与保护美国船舶、港湾、港口和海滨设施有关法规的行政命令

根据美利坚合众国宪法和法律,包括经修订的1917年6月15日法案(46USC70051)(“法案”)第二章第1节,赋予我作为总统的权力,除1950年10月18日第10173号行政命令中的调查结果以及根据该法案第1条生效的任何其他声明或调查结果外,我发现,美国国家安全由于美国国际关系的干扰面临威胁,这种干扰由于针对美国的持续且日益复杂的恶意网络活动而存在,并且这种干扰继续危及这种关系,特此命令:

第1节:修正案。《美国联邦法规》第33章第6部分修订如下:

(a)将第6.01-3条修订如下:

“6.01-3。港口长官(Captain of the Port)。本部分所用的‘港口长管’是指在地区指挥官指挥下的海岸警卫队官员,由海岸警卫队指挥官指定,目的是立即指导海岸警卫队在港口长官指定区域内的执法活动。此外,对于该区域中未分配给海岸警卫队指挥官指定为港口长官的官员的其余区域,区域指挥官将担任港口长官。”;

(b)将第6.01-5条修改如下:

“6.01-5。安全区。本部分所用的安全区是指由港口长官在港口长官认为有必要防止对任何船舶或海滨设施造成损害或伤害,保护美国的港口、港湾、领土或水域,或确保安全遵守美国的权利和义务时指定的陆地、水域或陆地和水域的所有区域。”;

(c)在现有第6.01-6节后添加以下新节:

“6.01-7。损害。本部分中使用的与任何数据、信息、网络、程序、系统或其他数字基础设施相关的损害具有美国法典第18编1030(e)(8)规定的‘损害’的含义。”

(d)在新的6.01-7节后添加以下新节:

“6.01-8。网络事件。本部分中使用的网络事件具有美国法典第44编3552(b)(2)规定的‘事件’的含义。”;

(e)将第6.04-5条修改如下:

“6.04-5。防止人员、物品或事物(包括任何数据、信息、网络、程序、系统或其他数字基础设施)访问船舶或海滨设施。当港口长官认为有必要采取此类行动,以确保该船舶免遭损坏或伤害,或防止任何船舶或海滨设施(包括其中或其上或美国水域的任何数据、信息、网络、程序、系统或其他数字基础设施)损坏或受伤,或确保美国的权利和义务得到遵守,港口长官可以阻止任何人员、物品或事物,包括任何数据、信息、网络、程序、系统或其他数字基础设施,登上或被带上或放置在任何船只上,或进入或被带入或任何海滨设施之上或放置于其中或之上。”;

(f)将第6.04-6条修改如下:

“6.04-6。建立安全区;与此相关的禁令。港口长官可根据第6.01-5条规定的条款和条件建立安全区。未经港口长官许可,任何人员或船舶不得进入安全区。未经港口长官许可,任何人不得在安全区内的任何船舶上登上、取走或放置任何物品或物品,包括任何数据、信息、网络、程序、系统或其他数字基础设施。未经许可,任何人不得在任何此类区域的任何海滨设施上拿走或放置任何物品或物品。”;

(g)将第6.04-7条修改如下:

“6.04-7。探访、搜查和清除。根据法律规定,在美国管辖范围内,港口长官可随时要求检查和搜查任何船舶、海滨设施或安全区,或任何人、物品或事物,包括任何数据、信息、网络、程序、系统或其上或其中的其他数字基础设施,可以在任何此类船只、海滨设施或安全区上设置警卫人员,并可以从其中移走未经港口长官特别授权进入或留在其中的任何及所有人员、物品或事物,包括任何数据、信息、网络、程序、系统或其他数字基础设施。”;

(h)将第6.04-8条修改如下:

“6.04-8。船舶的占有和控制。当港口长官认为有必要采取此类行动,以确保该船舶免受损坏或伤害,包括损坏其上或其中的任何数据、信息、网络、程序、系统或其他数字基础设施,或防止对美国的任何船只或海滨设施或水域造成损害或伤害,或确保美国的权利和义务得到遵守,港口长官可以在其管辖下的美国领海内,监督和控制任何船只的移动,并应完全或部分占有或控制任何船只或其任何部分。”

(i)将第6.10-7条修改如下:

“6.10-7。身份证明。海岸警卫队指挥官签发的身份证明文件应称为海岸警卫队港口安全卡,该证书的格式、签发条件和方式应由海岸警卫队指挥官与劳工部长协商后规定。除非海岸警卫队指挥官确信申请人的性格和生活习惯足以证明该人在船上或海滨设施内的存在不会对美国的安全造成不利影响,否则不得签发海岸警卫队港口安全卡。当海岸警卫队指挥官不再确信持有人有权获得海岸警卫队港口安全卡时,应撤销并要求交出海岸警卫队港口安全卡。出于同样目的,海岸警卫队指挥官可以认可其指定的其他凭证来代替海岸警卫队港口安全卡。”;

(j)将第6.14-1条修改如下:

“6.14-1。安全措施。为实现本部分的目的,海岸警卫队指挥官可在现有情况下规定其认为有必要的与海滨设施和港口船舶安全有关的条件和限制。此类条件和限制可扩大但不限于此类船舶和海滨设施的检查、操作、维护、守卫、配备以及防火措施。与港口滨水设施和船只安全相关的此类条件和限制也可能扩大到海岸警卫队指挥官认为在现有情况下必要的措施,以预防、检测、评估和补救可能对船只、港湾、港口或海滨设施造成损害或伤害的实际或威胁的网络事件。”;

(k)将第6.14-2条修改如下:

“6.14-2。海滨设施的状况对船只构成危险。当港口长官发现任何船舶停泊在码头、船坞、桥墩或其他海滨结构上时,由于其上或其周围存在的条件,将危及该船舶或任何其他船舶、港口或其中的任何设施此类码头、船坞、桥墩或其他海滨结构,包括警卫服务不足、照明不足、火灾危险、消防措施不足、机械不安全、内部干扰、任何数据、信息、网络、程序、系统或其他数字基础设施的损坏、实际或威胁的网络事件,或不令人满意的操作,港口长官可以阻止任何船舶停泊在此类码头、船坞、桥墩或其他海滨结构上,直到所发现的不令人满意的情况得到纠正,并且出于同样的原因,港口长官可以在任何船舶停泊后,强制该船舶从任何此类码头、船坞、桥墩或其他海滨结构转移。”;

(l)将第6.16-1条修改如下:

“6.16-1。报告破坏、颠覆活动或实际或威胁的网络事件。涉及或危及任何船舶、港湾、港口或海滨设施(包括其上或其中的任何数据、信息、网络、程序、系统或其他数字基础设施)的破坏、颠覆活动或实际或威胁的网络事件的证据,应立即向联邦调查局、网络安全和基础设施安全局(针对任何网络事件)和港口长官或其各自的代表报告。”;

(m)将第6.16-3条修改如下:

“6.16-3。防止破坏的预防措施。船舶或海滨设施的船长、所有人、代理人或经营者应采取一切必要的预防措施来保护船舶、海滨设施和货物免遭破坏,包括其上或其中的任何数据、信息、网络、程序、系统或其他数字基础设施。”;

(n)将第6.19-1条修改如下:

“6.19-1。主要责任。本部分中的任何内容均不得解释为免除船舶或其他海滨设施的船长、所有人、经营者和代理人保护和保障此类船舶或海滨设施的主要责任,包括任何数据、信息、网络、程序、系统或其他数字基础设施。”

第2节。协调。在执行经本命令修订的法规时,海岸警卫队指挥官应根据适用的法律或政策酌情与司法部和其他相关行政部门和机构进行协调。

第3节。一般规定。

(a)本命令中的任何内容均不得被解释为损害或以其他方式影响:

(i)法律授予执行部门或机构或其负责人的权力;或

(ii)白宫行政管理和预算局局长与预算、行政或立法提案有关的职能。

(b)本命令的执行应符合适用法律并视拨款情况而定。

(c)本命令无意且不会创造任何实体或程序上的、可由任何一方根据法律或衡平法强制执行的针对美国、其部门、机构或实体、其官员、雇员或代理人或任何其他人的权利或利益。

小约瑟夫·R·拜登

白宫

2024年2月21日

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。