前情回顾·美国政府网安监管动态
安全内参12月26日消息,网络攻击是美国各州及地方政府的重大隐忧。成为受害者可能意味着服务中断、敏感信息泄露、资金被盗,以及昂贵的响应和恢复费用。根据美国州政府首席信息官协会(NASCIO)的报告,网络安全位列2025年各州首席信息官的主要任务清单之首。
然而,各级政府在网络安全领域面临严峻挑战,资金和网络专业人才也长期短缺。如果政府能够清晰地了解自身的优势与劣势,并与同行进行对比,就更容易制定加强网络安全的后续措施,并获得决策层的支持。
美国全国网络安全审查(NCSR)正是为此目的而设立。这是一项自愿性的自我评估工具,旨在帮助州、地方、部落和领地政府,以及州级机构和地方部门,评估其在防范和应对网络攻击方面的准备情况。该计划由国土安全部和多州信息共享与分析中心赞助,并免费提供。
多数具备持续监控能力,缺乏威胁检测能力
去年,48个州参与了NCSR,其评分范围为1到7分。其中,22个州的得分达到了5分或更高。这表明这些州已经制定并实施了相关政策和程序,并将其与正式的安全框架对齐。而得分低于5分的州可能尚未制定正式的网络安全政策,或者仍在记录支持政策的标准和程序方面面临困难。
地方政府的平均得分略高于4分。参与者包括县、市,以及K-12公立学校学区、地方警察局、公用事业公司等。在参与的3122个地方政府实体中,约1248个(占40%)达到了推荐的5分或更高的分数。而在其他受访者中,相当一部分似乎未开展网络安全活动,或仅通过“非正式、临时的流程”进行相关工作。
总体而言,美国州、地方、部落和领地的参与者在身份管理和访问控制领域表现较为突出,包括限制仅授权用户或设备访问设施和资产。许多参与者还做好了响应和控制网络事件的准备,能够限制事件影响。此外,大部分参与者都具备一定程度的持续安全监控能力。
但在更高级的威胁检测能力方面,政府整体表现较弱。许多机构缺乏正式的风险评估策略,也未能在事件发生后进行全面分析,从而错失总结经验并更新策略、政策或程序的机会。此外,许多政府部门并未正式审查和更新其灾难恢复计划。
网络安全问题长期存在
公共部门组织还担心新兴技术可能带来的威胁,例如恶意组织利用AI发动攻击。此外,他们对在AI自动化操作中可能出现的有害错误,以及现有供应商采用新兴技术后可能对安全产生的影响感到忧虑。多州信息共享与分析中心项目分析师泰勒·斯卡洛塔(Tyler Scarlotta)表示,这些问题尤其令人担忧。
就在本月,罗德岛州遭遇勒索软件攻击,被迫暂停其用于健康和人类服务注册及资格验证的系统。这迫使居民转而使用纸质申请,并在年度健康保险开放注册期间造成了严重访问中断。黑客还窃取了约50万名居民的社会安全号码、银行信息及其他个人数据,使这些人面临资金盗窃和身份盗用的风险。
在美国西海岸,黑客攻击了加州马林县,窃取了该县为公共住房翻新预留的资金。今年1月,新泽西州一个学区因网络攻击停课,而2月的一次拒绝服务攻击则瘫痪了宾夕法尼亚州法院系统的多项在线服务。
政府并未拥有应对这些攻击所需的全部工具。70%的NCSR参与者表示,资金不足是他们面临的最大挑战之一。他们希望能够雇用更多人才,并采用无需大量维护的解决方案。受访者还将缺乏网络专业人员列为其五大主要挑战之一。
许多州的首席信息安全官表示,他们希望联邦政府能够为网络安全提供长期且定期的资金支持。然而,这一希望能否实现仍存在疑问。新一届特朗普政府是否会续期将于2025年结束的四年期“州和地方网络安全资助计划”, 观察人士对此持怀疑态度。当选总统特朗普提名的国土安全部长克里斯蒂·诺姆(Kristi Noem)曾表示,该计划是“浪费性”开支。
多州信息共享与分析中心、网络安全与基础设施安全局等机构,为地方政府提供了免费的网络安全工具和服务。地方政府也可以通过联邦“服务奖学金”计划部分缓解人才短缺问题。该计划为接受网络安全高等教育的学生提供支持,条件是他们毕业后为政府服务。
仅参与NCSR本身就可能是公共部门组织迈向更高网络安全水平的一步。数据显示,曾参与过NCSR的政府实体往往比首次参与的实体得分更高,这表明该计划可能有助于它们监控进展、指导投资、执行主要任务。
参考资料:https://www.governing.com/management-and-administration/fewer-than-half-the-states-meet-recommended-cybersecurity-goals
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
