编者按
美媒报道称,美国总统拜登预计未来数周内将签署新版国家网络安全战略。
新版战略较往届政府战略将发生重大变化,该战略主旨体现在两大支柱:一是由以自愿措施为中心转向强调政府监管。以往战略侧重于信息共享和公私伙伴关系等自愿措施,但新版战略强调政府将继续利用现有权力,并与国会合作填补监管空白,旨在利用法规来强化国家安全和公共安全。该战略指出,自愿方法虽然针对关键基础设施网络安全产生了有意义的改进,但缺乏强制性要求导致不一致、不充分的结果,应将责任转移到未采取合理防护措施的实体。二是继续侧重破坏和消除网络威胁。该支柱是对特朗普政府网络战略的明确延续,但强调了除美国网络司令部网络攻防行动外的其他方式,例如执法行动、制裁和私营部门合作。在网络空间“持续交战”方面,新战略并无立场退缩。
奇安网情局编译有关情况,供读者参考。
/
美国拜登政府即将发布国家网络安全蓝图,该蓝图首次接纳监管的重要作用。
该战略与过去的蓝图相比发生了翻天覆地的变化,将在一系列重大网络攻击之后出台,相关攻击促使美国政府重新考虑自愿措施,例如2021年在东海岸引发了燃料恐慌的Colonial Pipeline勒索软件攻击。
作为回应,拜登政府已经利用现有的行政部门权力发布或正在发布一系列网络安全法规,例如要求大型管道运营商制定应对网络安全事件的详细计划。美国国会也通过了立法,要求关键基础设施所有者和运营商在遭受重大网络攻击时在72小时内上报联邦政府。
因文件尚未公开而不愿透露姓名的美国高级政府官员反映,由美国国家网络总监办公室领导的即将出台的战略建立在这种方法的基础上。
● 预计美国总统拜登将在未来几周内签署该文件,该文件正在通过涉及20多个部门和机构的机构间批准的最后阶段。
一位政府官员表示,“该战略的主旨是说,政府将继续利用我们拥有的现有权力,并与国会合作填补监管空白。”
美国战略与国际研究中心的网络安全专家詹姆斯·刘易斯表示,“这与以前的战略有所不同,以前的战略侧重于信息共享和公私伙伴关系作为解决方案。……这远远不止于此。该战略说出了其他人不敢说的话。”
01
战略细节
该战略草案副本中的既定目标之一是“使用法规来支持国家安全和公共安全”。
● 据两位熟悉该草案的人士称,该战略表示监管“创造公平的竞争环境”以满足国家安全的需要。
● 该战略还指出,“虽然针对关键基础设施网络安全的自愿方法产生了有意义的改进,但缺乏强制性要求往往导致不一致的结果,在许多情况下不充分的结果。”
● 该战略甚至呼吁将责任“转移到那些未能采取合理预防措施来保护其软件的实体”,同时认识到即使是最先进的软件安全程序也无法防止所有漏洞。
美国国家网络总监克里斯·英格利斯2022年9月在一次网络会议上表示,“如果‘强硬’意味着我们必须认真对待我们希望网络空间为我们做什么……那么现在是我们强硬的时候了。如果归根结底,自我启蒙和市场力量只能带我们走这么远……那么我们必须走得更远,就像我们在汽车、飞机、药物和治疗方面所做的那样。”
02
情况背景
Colonial Pipeline事件发生后,美国白宫国家安全委员会在副国家安全顾问安妮·纽伯格的指导下,对所有16个关键基础设施领域的监管状况进行了分析。
● 其中5个领域——核电、金融服务、大型能源发电、化工和大型国防承包商——制定了某种形式的网络安全法规,这些法规是在拜登政府上台前实施的。
● 在Colonial Pipeline事件发生后,几个领域也加强了法规:石油和天然气管道,以及铁路和航空。
● 一位高级官员表示,美国环境保护局很快将发布水务领域的规定。银行业监管机构、证券交易委员会和联邦通信委员会也针对其管辖范围内的领域制定了先进规则。
由安妮·纽伯格主导的分析发现,在美国经济的五个关键领域,监管机构无权发布国家级网络监管。
● 这位官员表示,这些包括食品和农业、选举基础设施和学校等政府设施,以及“关键制造业”——包括疫苗制造商、药品和口罩制造商。这位官员说,这就是国会必须介入以通过立法授予相关联邦机构监管权力的方面。
● 该分析考察了每个领域的公司在中断情况下对美国人生活的影响,因为关闭一家大型发电公司比一家小公司影响更多的美国人。例如,这位官员表示,2022年的法规只涵盖了97家最大的管道公司,那些为50000个或更多客户提供服务或运输危险材料的公司。
03
过去与未来
美国历届政府多年来一直在权衡网络安全问题。虽然比尔·克林顿政府制定了一些网络安全政策,但并未就此问题制定国家战略。
● 第一个国家战略是由网络沙皇理查德·克拉克在乔治·W·布什政府时期制定的。
● 奥巴马政府没有制定网络战略,但试图让国会强制执行网络安全标准,美国商会和其他行业组织成功游说反对这一努力。
● 特朗普政府在2018年制定了一项以自愿措施为中心并强调进攻性网络任务的国家战略。
拜登政府网络安全战略的另一个支柱侧重于破坏和消除网络威胁。一位高级政府官员表示,这是2018年特朗普政府网络战略中概述的一些优先事项的明确延续。但该战略强调了除了美国网络司令部针对外国对手的持续进攻和防御网络行动外的其他方式,例如执法行动、制裁和私营部门合作。
这位官员表示,“人们一直错误的一点是,‘持续交战’有所退缩。并没有。”
美国商会将密切关注新战略,特别是关注它如何解决重叠监管、保护符合基线安全标准的公司以及联邦规则如何与州规则相互作用等主题。
美国商会网络、太空和国家安全政策部门网络安全政策副总裁马修·艾格斯表示,“商会期待与我们的成员一起审查该战略,国家网络总监办公室和商会在推进监管协调、责任保护和联邦优先权方面具有共同利益。实现这些目标将有助于进一步实现我们从传统的公私伙伴关系向公私实施合作转变的目标。”
完成该战略可能是克里斯·英格利斯作为国家网络总监的最后重大举措之一。
美国国家网络总监办公室发言人迈克尔·莫里斯表示,“经过五年的公共服务,克里斯打算在2023年初退休,首席副国家网络总监肯巴·沃尔登将成为代理国家网络总监。”
● “他退休的确切时间尚未完全确定。虽然我们肯定会想念克里斯的领导,但肯巴对机构充满信心,并将作为代理国家网络总监以深厚的专业知识和热情进行领导,就像她作为首席副国家网络总监所做的那样。国家网络总监办公室将继续专注于兑现拜登-哈里斯政府关于安全、可靠和公平网络空间的承诺。”
网络安全专家詹姆斯·刘易斯表示,下届美国政府可能会解决联邦政府的组织问题,将网络责任交给几个不同的机构。美国国会也可以发挥作用,尽管共和党即将接管众议院,任何争取更多监管权力的努力都可能面临障碍。
刘易斯谈到联邦官僚机构的整合时表示,“这就是使这一战略发挥作用所需要的,另一方面是这里确实需要国会齐心协力采取行动。使联邦系统、数字身份、劳动力现代化——行政部门能做的只有这么多。我们将看看国会是否能胜任这项任务。我敢打赌,明年你不会看到有太大的进展。”
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局