拜登政府的网络安全政策发生了巨大转变:过去四年来的既定战略是将保护的负担从消费者转移到最有能力的人,特别是制造技术和拥有最重要基础设施的私营部门。
这是一项全面改革,目前仍在进行中,涉及16个联邦重点保护的关键基础设施部门,涵盖从白宫到联邦住房管理局的办公室。在各种自愿努力的支持下,这项努力已导致出台法规,在新的领域建立最低安全标准。当然这一变化遭到批评,有人认为它既走得太远,又走得不够远。无论即将到来的选举结果如何,有些方面可能会保留下来。如果副总统卡马拉·哈里斯当选,预计会沿着目前的道路继续下去。如果前总统唐纳德·特朗普获胜,共和党平台誓言要“提高我们关键系统和网络的安全标准”。然而,从其他方面来看,这条道路的前途却充满不确定性,因为在最高法院做出一项重要裁决后,各机构的监管权力变得模糊不清。法院已经在一个关键领域成为障碍:脆弱的水资源部门。
以下是拜登政府最高网络安全官员和外部专家对这一重大转变的评价,这些评价主要来自拜登宣布不会竞选连任之前进行的采访。
网络安全责任转移缘起
这种转变至少在一定程度上早在总统乔·拜登上任之前就已开始。负责网络和新兴技术的副国家安全顾问安妮·纽伯格在拜登当选前曾在国家安全局任职,她不喜欢网络防御的弧线。
“我早就认为,自愿采取网络安全措施并没有取得足够的成果,”她回忆起拜登执政前的几年时说道。“我们仍然看到同样基本的网络攻击。当时的数量呈指数级增长,而我们仍在做同样的事情。所以我当然觉得我们必须做得更好。坦率地说,几乎世界上每个国家都已经这样做了,制定了最低要求。”
拜登政府迅速起草了一项行政命令,利用联邦政府巨大的购买力,在承包商之间以及间接地影响整个私营部门的行业改进。但到了2021年夏天,在Colonial Pipeline遭受网络攻击引发燃料恐慌,肉类加工公司JBS遭受网络攻击威胁肉类供应后,加强行业监管的势头愈演愈烈。
纽伯格说:“这绝对产生了重大影响。”殖民管道袭击事件引起了总统的关注,并促使国土安全部长亚历杭德罗·马约卡斯通过运输安全管理局向美国顶级管道公司发布了安全指令。
“这是美国的一次重大转变,”纽伯格说。“所以在Colonial Pipeline事件发生后,人们开始说,‘这怎么可能?一条重要的区域性管道怎么会被一群犯罪分子破坏?’而答案是,‘如果必须关闭一条管道,即使这是一家影响数百万美国人的大公司,我们也没有网络安全标准。’所以这肯定会让我们说,‘好吧,让我们真正看看存在什么样的应急机构。’”
审计与事件报告
TSA的管道规则催生了航空和铁路运输机构的其他规则。其他机构也纷纷效仿,范围各异,从美国证券交易委员会针对所有上市公司的信息披露规则,到联邦通信委员会为保护互联网这一鲜为人知但至关重要的支柱而采取的措施。
2022年,国会通过并由拜登签署立法,要求关键基础设施公司向网络安全和基础设施安全局披露重大网络攻击。2023年初,由国家网络总监办公室牵头的国家安全战略概述了这些目标。
该战略指出:“个人、小型企业、州和地方政府以及基础设施运营商的资源有限,优先事项也各不相同,但这些行为者的选择可能会对我们的国家网络安全产生重大影响。一个人的瞬间判断失误、使用过期密码或错误点击可疑链接不应造成国家安全后果。……相反,无论是在公共部门还是私营部门,我们都必须要求更多最有能力和最有条件的行为者来确保我们的数字生态系统安全且富有弹性。”
伴随这些标准的是具有类似目标的政策,包括涵盖其他技术或领域的额外行政命令、鼓励安全软件设计的自愿计划,以及类似于能源之星计划的网络安全标签计划。
最新进展
CISA局长Jen Easterly表示,在领导“安全设计”计划时,CISA是基于对长期趋势的认识。
“在过去四十年中,从互联网的诞生到软件的大规模采用,我们见证了一场技术革命,这场革命迫使安全和保障退居次要地位,技术制造商和软件生产商优先考虑上市速度和功能,而不是安全性,”她说。“我们的愿景是,破坏性的网络入侵和勒索软件攻击将成为令人震惊的异常现象。”
自CISA于2023年启动该倡议以来,已有近170个组织签署了承诺,Easterly表示,这是该倡议“融入时代精神”的一个标志。然而,她指出,这种思维转变可能需要时间才能扎根,就像Ralph Nader在1960年代推动汽车安装安全带和安全气囊花了几十年才被广泛接受一样。
“这是一次重大的文化转变,”伊斯特利说。“我认为要真正产生影响还需要更长的时间。”她补充说,还需要更多数据,CISA最终将根据网络举报法(即CIRCIA)收集这些数据。
或许,一个更遥远的目标也涉及同一个主题:将网络攻击的法律责任转移给软件制造商。国家网络安全战略指出:“软件制造商能够利用其市场地位,通过合同完全免除责任。”国家网络总监Harry Coker认为,这是他的办公室正在努力解决的最困难的问题之一,包括在今年早些时候召集学术界讨论概念作为“起点”,他说。
Harry Coker对转移责任的进展并不满意。“如果我们看看国家网络安全战略以及我们呼吁实体、个人和集体实施的内容,如果你看看现有的政策——如果我们都做到了这一切,入侵就会少得多,但我们没有做到,”他说。
纽伯格还希望看到更多。“我们早就该这么做了。我希望我们能走得更远,”她说。“我们试图衡量威胁程度……威胁程度很高。我们威胁程度很低。我们最终会将其提升到中等。我们真的需要达到我们的防御水平,至少要快速发现并发起进攻。现在我们还没有做到这一点。现在我们正在采取最低限度的措施,让攻击者付出高昂代价,更难发动攻击。”
私营部门的反应
并非所有人都接受政府的做法,尤其是关于最低标准法规的做法。尽管业内一些人持批评态度,但在各机构针对他们的投诉做出改变后,私营部门在某些领域的反对态度有所软化。然而,共和党州检察长提起的诉讼使环境保护局计划中的水安全规则搁置,一些共和党国会议员对具体机构的标准提出了反对意见。
众议院国土安全委员会网络安全小组主席、纽约州众议员安德鲁·加巴里诺 (Andrew Garbarino) 表示:“我认为政府及其机构制定的网络法规弊大于利。”他表示,这一系列规定有时会导致一家公司需要在12小时内向一家机构报告事件,在48小时内向另一家机构报告,在 72小时内向另一家机构报告。
Garbarino特别赞扬了Easterly,但批评了CISA实施规则的方式——这也是业界的普遍看法。最终,他说,他制定事件报告立法的目的是让向CISA报告成为主要规则,而不仅仅是众多规则之一。“目前有太多法规出台,而且没有统一性,”他说。
科克表示,他很感激参议院立法成立由他的办公室领导的协调委员会,因为这是他想要解决的另一个难题。伊斯特利称赞 CISA 就事故报告法征求行业反馈,甚至延长了评论期。两人都表示,他们在工作上与行业进行了广泛的沟通。
纽伯格对此表示同意,并补充说,推广工作必须在威胁和成本之间取得平衡,为每个领域设定一个“积极但可实现的”标准。
另一方面,反对意见可能让政府过于胆怯,正如诉讼后美国环保署规则被搁置一旁所见。
Recorded Future的高级情报分析师Allan Liska在谈到EPA规则时表示:“这是一项轻描淡写的规定。这是基本的卫生要求;他们没有提出任何过于复杂的要求,但很快就被起诉了。”他表示,其他机构可能避免采取更严格的行动,即使向SEC报告事件的人员存在差异。
最高法院裁决推翻了“雪佛龙原则”,这使政府监管行业的能力变得更加复杂,“雪佛龙原则”认为,法院在解释国会未指定的联邦法律时应该尊重行政部门。
纽伯格表示:“我们仍在分析这一点,并正在想办法。”
苏珊娜·斯波尔丁 (Suzanne Spaulding) 曾担任CISA的前任高级网络官员,她认为政府做出了重大转变,特别是在重组联邦机构以处理网络问题方面。但斯波尔丁说,“他们做出的另一个真正重要的转变是,他们开始认真思考,市场能带我们走多远?我们如何才能让市场变得更好?”斯波尔丁目前担任战略与国际研究中心国际安全项目的国土安全高级顾问。
斯伯丁强调了政府在安全设计以及事件报告法实施方面取得的进展。
但总体而言,她指出,政府“正在努力推动市场变得更加有效,因为我们知道,如果可以的话,这是实现这些目标的最佳方式。然后,认识到市场的局限性,并有勇气,如果愿意的话,走出去,在需要监管的地方进行监管。”
【闲话】美国网络安全责任转移本意是在提升关键基础设施的防护水平,但从实践层面看仍然面临众多不确定性,这一战略的可持续性和延续性仍然受到下一任总统是谁的制约。
一是责任转移可能导致私营部门与政府间的职责界限变得模糊,增加了协调和管理的复杂性。
二是监管上的挑战,尤其是最高法院对“雪佛龙原则”的裁决,可能限制了政府对私营部门的监管力度。
三是提高安全标准所需的成本可能会对企业造成经济负担,且这些成本有时会转嫁给消费者,影响市场竞争力。同时,不同行业和企业在网络安全合规性上的差异可能导致安全措施执行的不一致性。
最后,对技术解决方案的过分依赖可能会掩盖人为因素和组织文化在网络安全中的关键作用。这些不足需要通过明确的政策指导、合理的成本分担机制、统一的监管标准以及对人员培训和组织文化的重视来克服。
原文:https://cyberscoop.com/bidens-cybersecurity-legacy-a-big-shift-to-private-sector-responsibility/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。