美国国家安全态势取决于国家关键基础设施的安全、可靠运行。然而,不断发生的重大网络事件表明,现有的市场力量可能不足以激励采用网络安全最佳实践和标准,以应对不断变化的网络威胁形势并加强美国国家安全和某些部门的应急准备。因此,美国国家安全电信咨询委员会(NSTAC)的任务是就如何激励网络安全最佳实践、减少其实施障碍和衡量最佳实践采用情况提出建议。值得注意的是,确实存在投资网络安全的市场激励机制,这些激励机制已导致许多部门积极主动地进行网络安全投资。因此,网络攻击往往需要恶意行为者更多的技术专长和基础设施投资。然而,部分挑战在于市场力量的设计无法使网络安全达到政府在国家安全和应急准备方面的目标相称的水平。市场自然提供的服务与国家安全和应急准备所需的服务之间的差距越来越成问题。美国正在加紧攻击由私营部门开发、部署和管理的关键基础设施。
本报告的重点是:(1)美国如何缩小关键基础设施当前应对网络攻击的准备程度与不断变化的威胁之间的差距;(2)美国如何衡量这一差距;(3)美国如何识别市场因素、商业模式和其他有助于或阻碍网络防御的问题。
通过专家简报和NSTAC的讨论,NSTAC确定了采用网络安全最佳实践的激励措施以及衡量政府和行业采用这些最佳实践的方法。在本报告中,NSTAC就政府政策向美国总统提出了相关建议,以通过有效部署激励措施以及使用更有力的衡量标准和指标来改进网络安全最佳实践的采用。具体内容如下。
一、引言
网络空间的连通性使网络安全成为所有生态系统用户的共同责任。因此,有效的网络安全需要公共和私营组织之间复杂的互动,这些组织的任务、观点和资源各不相同,甚至可能相互冲突。然而,所有组织都有一个共同的目标,即促进网络安全和减少网络威胁。各国政府、标准组织和其他利益相关者已经制定了大量网络安全最佳实践,但仍有相当数量的关键基础设施组织不知道这些最佳实践的存在,或没有采用,或实施不力,导致网络安全效果参差不齐。
随着网络空间变得更加可靠,其总体规模也随着更多利益相关者加入生态系统而扩大。与此同时,一些子行业的市场集中度也增加了成功攻击的影响。这引起了美国政府官员的担忧,即现有的市场力量可能不足以激励在必要的层面上采用这些最佳实践来应对不断变化的网络威胁,并确保美国的国家安全和应急准备利益。
二、研究结果和建议
(一)实现国家安全目标需要激励措施
研究结果:在某些情况下,各组织基于成本/效益分析和其他风险管理考虑所做的网络安全投资,与联邦政府认为这些组织为改善国家安全态势所需的投资之间存在重大差距。缺乏足够资源进行网络安全投资的组织,或市场力量不能充分激励网络安全投资达到确保国家安全或应急准备所需的水平的组织,将需要联邦政府提供额外的激励和支持,以鼓励采用网络安全最佳实践。
建议1:美国总统应指示ONCD与政府和行业利益相关者合作制定一项战略,就有影响力的财政激励措施提出建议,例如为采用适当网络安全最佳实践的组织提供税收减免或联邦拨款,帮助其充分弥补国家安全和应急准备方面的差距。总统应要求国会授予实施该战略建议所需的一切必要权力。
建议2:美国总统应指示ONCD与包括CISA、NSA、DoD和NIST在内的相关联邦机构协调,针对关键基础设施提供商,尤其是资源匮乏的中小型企业,制定一项全国范围的教育和推广计划,以大幅提高对各机构提供的众多免费服务的使用率,例如CISA网络卫生和其他共享网络安全服务计划、NSA网络协作中心服务和NIST国家网络安全卓越中心(NCCOE)计划。
建议3:美国总统应指示OMB确保未来的年度预算申请也能充分支持这些计划的扩展。
公共部门和私营部门以不同的方式适当评估风险。对私营部门而言,风险主要是一个经济问题——安全问题的资金来源主要是按实体、商业层面来计算的,因此私营部门对网络安全的投资水平将与经济和商业风险相适应。美国政府面临的是经济以外的问题,主要涉及国家安全、经济安全和应急准备。这种区别导致了政府和私营部门在最佳网络安全投资上存在差异。
因此,有必要制定额外的激励措施,以激励私营部门行为体在政府认为足以确保其国家安全和其他经济外优先事项得到满足的水平上投资于网络安全最佳实践。
根据其成熟度或资源,针对不同的实体,提供不同类型(促进和激励)的激励可能更为合适。扶持性激励措施是指那些帮助成熟度较低的组织起步的措施。激励性激励措施则是鼓励那些拥有成熟网络安全项目的大型组织进行投资。不同部门的不同激励措施可能会推动或阻碍网络安全投资。
NSTAC就激励措施提出了以下补充建议:
建议1:美国总统应指示联邦政府管理和预算办公室(OMB),与国家网络安全和通信委员会(ONCD)及其他相关联邦机构协调,利用现有政府采购计划或国际标准制定一套统一的网络安全要求,以推动更强有力地采用网络安全最佳实践和实现监管协调。
建议2:美国总统应指示ONCD与CISA和GSA FedRAMPP项目管理办公室协调,与私营部门的利益相关者进行磋商,以确定采用供应商提供的补丁和安全配置指导的现有抑制因素和障碍,以解决关键漏洞和已知被利用的漏洞,并鼓励软件制造商将这些经验纳入其安全设计程序。
建议3:美国总统应指示CISA与关键基础设施部门协调委员会合作,开发针对使用第三方产品或服务的关键基础设施组织的网络安全要求的RFP语言。样本语言应公开分享,供任何组织(尤其是中小型企业)自愿使用,并应定期更新。
(二)责任保护支持有效信息共享
研究结果:民事、刑事及监管责任对有效网络安全信息共享造成了极大的阻碍;实体参与有效的信息共享过程需要责任保护,任何对责任的限制都必须明确。
建议:美国总统应指示ONCD与司法部、其他联邦机构以及私营部门利益攸关方协调,制定一项战略,使用定义明确、毫不含糊的语言,将责任改革和安全港与能够证明已采用网络最佳做法的组织与政府共享网络威胁、事件和其他信息挂钩。如有必要,美国总统应请求国会授权,在2015年《网络安全信息共享法案》到期之前实施该战略的各项建议。
为了促进信息共享过程能够更有效地运行,组织需要对监管、刑事、民事责任以及经常伴随网络安全事件发生的其他潜在责任进行保护。责任问题确实会阻碍针对网络攻击的有效协调应对,包括政府和私营部门为阻止或防御恶意活动所做的努力。加强责任保护将提高政府和私营部门之间的协调,并使有针对性的网络威胁响应成为可能。组织希望确信他们分享的信息不会被用于对他们采取执法行动。
为此目的,NSTAC还提出了以下补充建议:
建议1:美国总统应指示美国国家标准与技术研究院确保根据CIRCIA信息共享规则向政府报告网络事件信息的实体享有的豁免权与2015年《网络安全信息共享法案》中的豁免权相一致。
建议2:美国总统应指示ONCD建立明确机制,对与政府共享的任何网络威胁或事件信息进行匿名化处理并消除归属感。在进一步传播给其他政府机构或从政府传播到私营部门之前。
建议3:美国总统应要求联邦预算局、国家卫生与公共服务部、国土安全部、司法部以及其他政府利益攸关方合作,向联邦部门和机构明确发布指令,确保他们为私营部门提供的任何责任豁免都必须清晰界定,以减少不确定性并最大限度地提高项目参与度。
(三)重叠/冲突的法规造成资源紧张
研究结果:行业利益相关者已付出巨大努力,使运营网络安全计划与国家标准技术研究所(NIST)云安全框架和其他国际共识驱动标准保持一致。然而,监管要求(联邦、州、地方和行业)之间的重复/冲突继续给组织网络安全预算、资源和优先事项带来巨大压力。
建议:美国总统应指示预算办公室和信息与监管事务办公室要求联邦机构在发布新规定之前,对任何新的网络安全要求进行映射,并将其发布到NISTCSF2.0及其后续版本。
许多这些监管要求和行业标准都要求组织实施并运行相同或类似的网络安全控制。对监管网络安全相关要求的重复和冲突给组织的网络安全预算、资源和优先级带来了巨大混乱和压力,因为他们试图为合规性进行必要的投资。在很多时候,单个组织的安全和合规团队不得不决定要实施哪些网络安全控制。控制措施是否适当减轻了与网络安全风险相关的风险,而不是控制措施是否提供了最不好的监管结果。
NSTAC提出以下补充建议:
建议1:美国总统应要求ONCD与CISA和OMB合作,制定一套符合NISTCSF标准的要求,以用于现有和未来的联邦网络安全拨款计划。
建议2:联邦政府应加快实施NSTAC增强互联网韧性第四阶段关于监管协调的建议。
(四)利用现有网络安全数据
研究结果:政府和私营部门目前可以获取大量网络安全数据,这些数据可以用于帮助支持更有效的测量和指标。
建议:美国总统应授权在商务部(DOC)内成立一个网络安全卓越中心,以协调联邦部门和机构的数据收集和管理。该中心应汇集来自美国国土安全部(CISA)和国家标准与技术研究院(NIST)的领域专家,以及来自商务部的统计专家。国家科学基金会(NSF)的SATC计划或其他适当的政府实体可以用来评估可用的数据来源,并确定哪些经济问题可以通过这些数据来解决。
数据,尤其是诸如防御措施、渗透测试结果和其他可能暴露组织风险的信息等敏感网络安全数据,必须以最高级别的完整性进行消费和保护,以维护数据所有者和处理数据实体之间的信任和保密性。为此,政府必须明确说明数据最初收集的方式以及哪些组织有权收集特定的数据。
一旦网络安全数据收集、管理和保护的指导方针得到明确界定,就需要政府与行业合作来定义消费生成的数据的模型。由于收集到的数据预计将包含公共可用数据以及政府和行业提供的数据,因此模型应考虑CISA管理下的即将出台的CIRCIA中规定的现有规定。CIRCIA对报告网络事件对行业提出了具体要求,但没有指定提供数据的确切结构和范围。所生成的任何模型都必须考虑到由CIRCIA规则制定过程定义的任何规范。这些模型的处理和传播必须与行业合作伙伴明确确定并与之协调。
NSTAC提出以下补充建议:
建议:美国总统应要求美国国家标准与技术研究院制定数据管理路线图,以战略方式准备通过CIRCIA获取数据,并利用多州信息共享分析中心(MSISAC)从国家网络安全审查中获得的匿名数据来参考这些数据集,从而洞察并分发适当的网络威胁和事件信息,帮助关键基础设施实体保护自己。
(五)将网络安全指标与业务成果联系起来
研究结果:与业务结果挂钩的网络安全措施比那些与业务脱节的措施更有效;指标应与决策成果挂钩。
建议:美国总统应指示国家标准技术研究院院长与美国国土安全部局长和私营部门合作,建立一个资源中心,帮助各组织利用NISTCSF 2.0的治理功能来制定与业务成果相关的测量标准和指标。该资源中心应包括关于采用NISTCSF 2.0、CISA CPGs、NCCOE实践指南以及NIST安全软件开发框架(SSDF)等其他资源的业务结果指导方针。在发布CSF 2.0后,CISA应更新CPGs以确保与CSF的新功能、类别和子类别的对齐。
组织和企业(包括关键基础设施提供商)在理解哪些网络安全投资最有效降低风险方面面临重大挑战。独立于业务目标和目标制定的组织信息技术和网络安全战略和战术可能会导致不一致的投资激励。在这种情况下,网络安全总支出可能会上升,但可能不会优化商业风险。同样,网络安全计划中使用指标和度量可以证明一个组织在实现特定安全结果方面的进展情况。然而,如果这些指标和度量与业务成果脱节,这种进展仍然可能导致组织被过度暴露。当组织面临支出压力时,必须优先考虑预算决策,情况尤其如此。
多个非营利组织、政府和其他行业组织正在开发工具,帮助组织将网络安全投资与业务成果和投资回报数据联系起来。例如,NIST已经开发了工具来帮助组织更好地将其安全功能与总体业务风险管理对齐。信息风险因素分析研究所(FAIR)开发了框架和工具,以帮助组织从商业角度衡量、管理和报告信息风险。
对这些实体来说,明确网络安全实践与业务成果之间的联系至关重要。美国国家标准技术研究院(NIST)和信息基础设施保护局(NIST)有机会与行业和其他利益相关者密切合作,使组织能够更有效地利用资源并更好地了解如何将其网络安全计划与业务成果联系起来。
(六)了解经济和国家安全风险容忍度之间的差距
研究结果:加强国家网络安全取决于公共和私营部门决策者在分配有限资源时,能够根据风险信息做出关于最有效解决方案的决策的能力。为了实现这些目标,需要联邦政府提供更多的支持。
建议:美国总统应指示ONCD与CISA、NSC、NEC和DOC一起开展研究,或委托开展研究,以确定经济风险容忍度与社会和国家安全风险容忍度之间的差异;然后找出这些差异并确定需要采取何种网络安全做法来弥补这些差异。
对关键基础设施实体(大部分由私营部门拥有和运营)的网络攻击和网络攻击威胁显然特别令人不安,因为它们有可能扰乱甚至颠覆日常生活。尽管私营部门在减轻包括网络犯罪在内的罪犯风险方面经验丰富,但国家行为者及其关联方带来的极端风险仍然很大。具体而言,由于国家行为者能够恐吓、投射力量并预先部署以应对未来的敌意(或当前的敌意),因此关键基础设施的所有者和运营商面临风险。因此,公共私营伙伴关系的模式需要演变,并且需要更多的支持来帮助弥合私营部门网络安全投资与国家安全之间的鸿沟。
(七)培养度量素养
研究结果:主观测量与数学运算相结合会导致无效决策;提高度量素养并关注领先而不是滞后指标可以加强网络安全优先级。
建议:美国总统应指示国家标准技术研究院与利益相关者合作,利用现有的网络安全调查数据开发一种经得起推敲的方法来评估网络安全指标。
NSTAC发现网络安全行业缺乏“度量素养”。试图衡量安全结果的组织经常使用主观、定性的(即文字)测量方法,然后对结果进行数学运算,就好像它们是定量的(即数字)。此外,过分依赖定性指标不能让组织了解随着时间推移取得的进步,也不能指导基于风险的决策,并导致做出的选择充其量只是次优的,最坏的情况是不利的。
量化指标可能同样受到固有局限性的困扰。它们可能只衡量安全性的某些方面,而没有涵盖其他方面。NSTAC提出以下补充建议:
建议1:美国总统应指示国家标准技术研究院(NIST)与美国联邦信息安全局(CISA)合作,让私营部门制定方法和机制来评估新商务部领导下的政府范围内的测量卓越中心可以利用的测量方法的性能。
建议2:美国总统应要求美国国家标准与技术研究院(NIST)与国土安全部网络安全和基础设施安全局(CISA)合作,制定材料以教育并鼓励组织采用更多量化风险管理策略。
(八)与私营部门合作评估采用率和有效性
研究结果:私营公司可能拥有可以作为最佳实践采用度量标准的数据。
建议:美国总统应要求拟议中的DOC网络安全卓越中心与适当的联邦机构和州政府合作,研究诸如网络保险公司等公司是否拥有可自愿匿名共享的信息/数据,这些信息/数据可用于评估最佳实践采用情况以及网络安全保险对最佳实践采用的影响。该研究应建立并公布一组广泛的指标,这可能为其他公司提供指导。除了评估当前做法外,此类数据还可以作为衡量未来政策和方案有效性的工具。
几种类型的公司可能会提供有关网络安全标准和最佳实践使用情况的汇总数据:网络保险公司、网络安全服务提供商和认证机构。在业务过程中,这些公司将熟悉其客户群的网络安全准备状况。来自此类公司的聚合数据可用于近似当前网络安全标准和最佳实践的实施率,以及随时间的变化。这些数据还可以为未来政策和计划的有效性提供见解。
NSTAC提出以下补充建议:
建议1:美国总统应要求财政部进行研究,就网络安全保险作为保险业资本应对能力的补充提供一份报告,以缩小市场提供的保险与国家安全和紧急情况准备之间的差距。
建议2:美国总统应要求ONCD与CISA和国防部合作,评估类别保险排除的影响以及对关键基础设施和国家安全及紧急准备风险暴露的各自影响。
(九)解决劳动力短缺和人才缺口问题
研究结果:缺乏合格人员,以及招聘和留住合格人员的资源不足,一直被列为阻碍采用最佳做法和有效网络安全评估的障碍。
建议:美国总统应指示ONCD与国防部、CISA、NIST、NSF和其他政府利益相关者协调,建立虚拟国家网络学院,提供免费培训以换取服务。这些项目的推广应重点关注网络安全领域的多样性。工作安置可以是在政府网络安全职能内部或与关键基础设施联盟或合作伙伴的商业企业一起,更重视较小的企业和可能缺乏网络安全资源的企业。网络安全课程将是教育的重点,合作伙伴学院和大学提供补充课程。
美国对网络安全劳动力的需求是由多种因素共同塑造的,但满足关键基础设施部门熟练网络安全人员需求是一项紧迫的国家关切。《国家网络安全劳动力与教育战略》旨在满足美国总统的《国家网络安全战略》的要求。专注于吸引女性、少数族裔和其他代表性不足群体(如残疾工人)加入网络安全劳动力的努力,可以帮助填补现有技能缺口。劳动力举措还可以关注退出美军服役的军人,他们中的许多人接受过某种形式的网络培训或认证。私营部门可以效仿这一做法,通过提供奖学金并与学习机构合作,为社区学院、职业学校和传统上为服务不足的人群服务的大学提供资金,并根据行业需求建立培训和认证课程,以挖掘网络安全人才。
美国及其盟友必须在决定性的十年中驾驭前进,以建设一个有防御能力、能复原、价值观一致的数字环境,进一步促进安全、经济繁荣和技术创新。NSTAC提出以下补充建议:
建议1:美国总统应要求国家标准与技术研究院在教育部门、劳工部和国土安全部的协调下,利用国家标准与技术研究院网络安全框架促进基于人员的最佳实践网络弹性培训。
建议2:美国总统应指示联邦人事管理局与劳工部合作,为公共和私营部门组织制定指导方针,利用基于胜任力的方法填补劳动力缺口。
建议3:美国总统应该要求ONCD制定一项战略,动员网络安全专家(包括退休的计算机安全专业人员),支持“网络卫士”,让这些专家可以自愿帮助需要网络安全专业知识但又难以雇佣全职员工或外包服务的小企业。
(十)推广安全软件开发实践
研究结果:分阶段的方法可以强化软件开发需求的结果。
建议:美国总统应指示CISA从私营部门寻求成熟模型指导方针或标准,并在与私营部门协商的基础上,为完成OMB/CISA安全软件自我证明通用表格(SSSCF)制定合理的合规时间表。仅提供证明可能使联邦机构获得一些见解,但存在重大的风险,可能会阻止采用创新的或关键任务的软件产品和服务。成熟模型可以带来额外的粒度和对与软件产品的安全状态相关的风险的理解,从而能够使终端用户做出更明智的风险决策。
美国政府正在进行大量工作,以激励并告知安全软件开发。这些工作包括NIST安全软件开发生命周期(SSDF)、软件物料清单(SBOM)、CISA的“设计安全”/“默认安全”倡议、供应链安全框架(SSSCF)等。这些元素中的每一个都可以在提高软件开发供应链安全性方面发挥重要作用,但它们可以受益于更连贯的方法来结合使用,以更一致地推动变革。
NSTAC提出以下补充建议:
建议1:美国总统应要求国家标准与技术研究院(NIST)寻求针对SSDF的可应用于私营部门开发的成熟度模型指导方针或标准。如果此类指导方针不存在或尚未制定,NIST应在私营部门的协助下制定此类指导方针。此类指导方针或标准应用于对SSDF指导方针中所包含的各种做法和流程进行评估,并避免使用已知会产生漏洞的常见软件开发做法。此类指导方针应考虑到,为了有资格获得采购机会而证明符合SSSCF的公司很可能会发现(至少在目前阶段)某些差距,这需要明确的行动计划和里程碑(POA&M)。供应商向客户传达当前的SSSCF能力以及通过POA&M关闭差距的计划,透明的沟通理应推动更清晰的市场信号,以促进安全软件开发实践的采用。
建议2:美国总统应要求美国国家标准与技术研究院(NIST)与国土安全部、其他相关联邦机构和私营部门协调,制定一项重点研究开源软件使用的影响以及联邦政府如何进一步激励创建旨在提高开源软件质量和安全性的资源而不影响创新的挑战。
(十一)利用先进技术提升网络安全防御能力
研究结果:应鼓励公共部门和私营部门组织利用有效技术,使攻击者难以发挥优势或给防御者带来优势。
建议:美国总统应要求ONCD与CISA、NIST和DOE协调,为组织创建网络安全大挑战,以利用下一代人工智能。
利用人工智能(AI)/机器学习(ML)能力,包括大型语言模型,有效地推动网络安全最佳实践的采用和使用,并使对其使用的测量更加高效。这项工作的长期愿景应包括评估在人类监督下进行的人工智能使用是否以及在多大程度上有助于弥合人工智能人才差距,通过民主化访问以前复杂的安全技术和能力来实现这一点,并在没有直接人工干预的情况下采取某些行动。
先进的技术,如人工智能和机器学习,可以在关键方面提高网络安全计划。人工智能和机器学习技术帮助信息安全专业人员在评估组织安全态势以及公司网络安全政策和已建立的最佳做法如何有效实施时做出决策。启用人工智能的安全工具还可以更有效地自动化网络威胁预防,有助于对大量数据集进行快速分类,以便人类能够及时发现、保护和应对现代攻击者。
NSTAC还提出了如下补充建议:
建议:美国总统应指示美国国土安全部,识别对人工智能/机器学习系统非常有效的安全用例,并发布自动化模板及其伴随文档,使组织能够利用云基础设施迅速部署这些系统。这将使没有专门网络安全或自动化团队的小型和中型企业能够从人工智能/机器学习中受益并提高其网络安全能力。对于那些本来需要开发类似能力的成熟大型企业来说,这也降低了成本,同时提高了他们的网络安全态势。
(十二)衡量和跟踪健康网络安全文化的进展情况
研究结果:健康的安全工作文化是网络安全的强大指标。它涵盖了组织对安全的心态、行为和做法,是建立长期抵御网络威胁的关键方面。
建议:总统应要求国家科学院计算机科学与电信委员会研究如何最好地衡量和跟踪健康安全文化的进展,这是强大的网络安全和网络弹性的重要指标。
拥有强大的网络安全文化的组织在面对不断演变的网络风险时,通常具有更高的意识、准备和恢复能力。成功地将网络安全整合到企业文化中的组织,在保护、检测和应对现代威胁方面处于更有利的地位。因此,应该鼓励和支持私营部门和公共部门的企业培养强大的网络安全文化。
三、结论
关键基础设施和其他私营部门组织采用网络安全最佳实践有很强的市场激励措施。竞争差异化、声誉保护和客户要求都是部署有效的网络安全做法的强大经济诱因。事实上,在总体上,私营部门组织在过去的二十多年里大大增加了对网络安全人员、流程和技术的投资。然而,尽管这些投资不断增加,针对关键基础设施系统的网络攻击仍在以惊人的速度发生。由于我们的关键基础设施系统越来越相互关联,这些网络攻击可能会对国家安全、经济安全和应急准备产生重大影响。
私营部门通常根据一系列经济、监管和其他因素做出网络安全投资决策。而包括美国政府在内的各国政府则会考虑更多其他因素,如国家安全、安全和健康以及总体经济安全,这些因素都会影响其网络安全优先级。关键基础设施和其他私营部门组织根据经济因素进行的最佳网络安全投资,与政府认为充分确保国家安全和其他社会需求所需的投资之间可能存在差距。因此,美国政府有责任为私营部门提供激励措施,促使它们采取网络安全最佳实践,以弥补基于经济因素和国家安全方面的网络安全差距。
此外,美国政府还需要促进有效使用网络安全测量和指标,帮助组织更好地了解这些采用水平。不同类型的激励措施需要根据组织的网络安全成熟度和其他因素来激励不同类型的企业。例如,奖励性激励措施(如税收减免和责任保护)有助于提高更成熟的组织以及有资源投资于网络安全的组织采用率。支持性激励措施(如免费网络安全服务和全面的网络安全指导),可以帮助缺乏资源投资于网络安全的不成熟实体。围绕最佳实践(如NISTCSF2.0和CISACPGs)制定的监管合规性,可以显著减轻成熟和不成熟的企业的合规负担。
为了更有效地缩小国家安全差距,政府及其私营部门合作伙伴必须对网络安全环境有一个共同的理解。这种理解取决于有效的测量和指标,而这些测量和指标又取决于数据的有效利用。建立一个卓越的网络安全数据中心可以帮助充分利用现有的网络安全数据,并为未来的私营部门数据标准化工作提供信息。政府还可以与私营部门合作,推动更强有力的网络安全指标素养。政府可以与私营部门和非营利组织合作,评估他们如何利用所持有的数据来评估网络安全最佳实践的采用情况。
网络安全最佳实践的采用还取决于其他许多因素。这些因素包括实施有效的劳动力战略,了解人工智能和机器学习等先进技术在改善网络安全方面可以发挥的作用。至关重要的是,需要采取更强有力的组织网络安全文化,以可持续的方式支持所有这些进展。
来源|NSTAC官网
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。