编者按
美国白宫正在推进一项广泛工作,通过与联邦机构协调、与国际盟友合作以及推动对行业领域的强制令,来保护关键基础设施免遭黑客攻击。上述保障措施计划是美国政府正在进行的范式转变的一部分,即从行业自愿性措施转向实施强制性规则。
美国政府的总体方法是依靠对特定行业领域负责的机构以及网络安全和基础设施安全局(CISA)的专业知识。美国政府将关键基础设施领域分为五个类别以推进最低基线网络安全措施,包括:继续使用现有机构权限的领域;执行未使用监管权限的领域;将网络纳入当前权限的领域;将编制强制令的未明确授权领域;将从国会寻求更多权限的领域。部分领域最新进展情况如下:水坝领域监管机构较多,需要确定最低安全标准;国土安全部近期将更新化工领域的网络安全标准;环境保护局本月将针对水务部门发布一份安全计划实施备忘录;航空业的未来行动将在未来数月内出台;信息技术和政府设施等某些部门的主要责任由国土安全部负责。
美国政府还在寻求国际合作伙伴,以确保主要盟友的基础设施足够安全以应对任何潜在威胁。2022年12月,美国召集捷克、德国、立陶宛、荷兰、斯洛伐克和波兰的政府和能源行业官员在华沙会晤并参加培训。此次培训由美国爱达荷国家实验室主持,侧重于保护工业控制系统、硬件和软件,以协助各国加强网络防御。
奇安网情局编译有关情况,供读者参考。
美国白宫正在推进一项广泛的努力,通过与联邦机构协调、与国际盟友合作以及推动对行业领域的强制令,以保护关键基础设施免遭黑客攻击。
这些额外强制性保障措施的计划是美国政府正在进行的范式转变的一部分,以转向更严格的规则。这反映在即将出台的美国国家网络安全战略、联邦官僚机构的工作以及主要政府网络人物的公开声明中。
负责网络和新兴技术的美国副国家安全顾问安妮·纽伯格表示,“针对美国人所依赖的关键服务所面临的威胁,自愿性努力还不够。”
美国官员和外国官员简要介绍了最近和不远将来的网络安全工作。他们描述的一些内容包括以前未被报道的有关监管环境的信息以及联邦网络安全政策的未来动向。
发展方向
安妮·纽伯格表示,美国的总体方法是依靠对特定行业领域负责的机构以及网络安全和基础设施安全局(CISA)的专业知识。她表示,当安全实践在各个领域都很普遍时,这涉及到依赖CISA,但主要负责的机构知道什么时候需要以不同的方式保护某些东西。
美国白宫已将行业领域分为几个类别,以推进最低基线:
● 继续使用现有机构权限的能力。
● 执行未使用的监管权限。
● 将网络纳入当前权限。
● 将编制强制令的未明确授权领域。
● 将从国会寻求更多权限的领域。
联邦机构已经采取措施对某些行业领域施加网络安全要求。例如,运输安全管理局(TSA)规定关键管道运营商在遭受重大网络攻击时必须在24小时内通知该机构。不出所料,许多规则在业界并不受欢迎。
某位以匿名为条件从而更坦诚地谈论问题的美国白宫官员分享了几个领域计划的一些最新情况:
水坝领域:该官员表示“信不信由你,水坝是最复杂的。内政部监督一些,国防部监督一些,国土安全部监督一些,规则与权限几乎一致。所以要弄清楚‘是否有最低标准?’实际上非常复杂。”黑客以前曾攻击过大坝基础设施。2016年,美司法部宣布对与伊朗政府有联系的黑客提出指控,这些黑客据称攻击了纽约的一座大坝。
化工行业:该官员表示,国土安全部有权保护化工设施,但网络安全标准尚未更新。国土安全部将在春季开始努力改变这种状况。
水务部门:行业团体长期以来一直在等待环境保护局(EPA)针对水务部门的计划。该机构的目标是在1月发布一份实施备忘录。该官员称这是CISA与具有特定部门责任的机构间合作的“典范”。
该官员表示,“EPA进行现有供水系统的卫生调查。他们缺乏网络安全专业知识,他们的卫生服务调查从来没有网络成分。因此,他们正在最终确定一项现在将包括网络组成部分的规则。现在我们想说‘CISA,我们需要你派遣人员或通过招聘来补充——无论添加什么,这样当一个团队去做卫生调查时,而不用进行两次调查。’”
航空业:该官员表示,航空业的下一步行动“将在未来几个月内出台”。行业和立法者希望看到负责管道、航空和铁路部门的TSA解决关于它是否有足够的人员和资金来监督任何强制性行业努力的问题。该官员表示,“他们提出了资源请求,这就是我们要找到的东西,因为我们知道扼杀努力的最好方法是当我们要求人们做工作时,他们提交工作但没有任何反应。”
● 信息技术和政府设施等某些部门的主要责任落到国土安全部。该官员表示,“有趣的是,这是我们找不到强制执行最低限度的网络安全措施权限的地方。”
美国国家安全委员会有两个人专门负责与各机构协调,并就这些规则提供网络安全指导。
国际倡议
安妮·纽伯格表示,美国白宫还在寻找国际合作伙伴,这反映在上个月以前未被报道的培训课程中。她表示,“仍然存在俄罗斯对欧洲能源系统发动另一次网络攻击的担忧。为确保我们的主要盟友的基础设施足够安全以应对任何潜在威胁,我们与波兰密切合作,召集地区的七个国家进行培训,以加强它们的网络防御。”
来自美国、捷克、德国、立陶宛、荷兰、斯洛伐克和波兰的政府和能源行业官员于2022年12月在华沙会面,爱达荷国家实验室主持了培训。培训侧重于保护工业控制系统、硬件和软件,这些通常聚焦于设备的安全和运营。
波兰总理府负责数字事务的国务秘书雅努什·切申斯基表示,在最近的勒索软件峰会上与安妮·纽伯格的对话导致了此次培训课程。
在俄乌冲突中保护能源部门的需要是一个关键动机。雅努什·切申斯基表示,“我们担心溢出效应,因为在波兰,原本100%是民用的目标在支持乌克兰与俄罗斯作战的整个过程中卷入了不同的部分,因此它们已成为目标。他们中的许多并没有准备好将其网络态势从仅仅是另一家企业升级为成为俄罗斯人可能的目标。”
美国能源部网络安全、能源安全和应急响应办公室负责人普什·库马尔称,这种合作也有利于美国。他表示,“如果他们从网络的角度看到那里正在发生的事情,并且如果他们能够与我们分享,这也有助于我们变得更强大,反之亦然。”
雅努什·切申斯基表示,也许合作中最重要的部分是外国盟友和他们各自的行业能够更好地相互了解。他称,“这是非常非常重要的,在一天结束时,你基本上知道在发生某些事情时该与谁交谈,而做到这一点的最佳方式是啤酒和披萨。”
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局