老美如何跟踪网络安全实施情况？

近几年供应链安全被放到突出的位置，而最受瞩目的供应链攻击之一是殖民管道输送系统的攻击。2021年5月7日至12日，大规模的殖民地管道成品油输送系统陷入停顿。它是DarkSide 勒索软件网络攻击的受害者。殖民地管道为东海岸输送约45%的燃料，包括汽油、柴油、取暖油、喷气燃料和军用燃料。

当 Colonial 安全团队检测到该恶意软件时，它已经感染了公司的 IT 网络，并关闭了该网络。管道运营商还关闭了 OT 系统，以防止恶意软件传播。由于燃料短缺的威胁，北卡罗来纳州、弗吉尼亚州、佐治亚州和佛罗里达州宣布进入紧急状态。

CISA 主任Jen Easterly表示，殖民地管道袭击事件是一个分水岭时刻，“我们高度互联的社会的脆弱性成为全国性的现实，成为餐桌上的问题。” 这次攻击以及随后发生的更多攻击迫使政策制定者、监管机构和高管更加严肃地对待网络安全威胁和政策问题。

跟进 TSA 安全建议

殖民地袭击事件发生后，TSA 在 2021 财年发布了两项管道安全指令。他们在遵循自己的指令方面做得如何？

最近，国土安全部监察长发布了一份审计报告，用于确定 TSA 2021 年安全指令是否解决了网络威胁和利益相关者的担忧。管道安全到底加强了吗？不幸的是，审计结果并不十分令人鼓舞。

该文件称，“运输安全管理局也没有跟进和追踪管道运营商对其网络安全实践有效性的评估。发生这种情况的原因是 TSA 没有标准操作程序或正式系统来跟踪和跟进管道运营商执行安全指令的情况。如果没有额外的监督，运输安全管理局无法确保安全指令的全面实施，这可能会使管道容易受到网络攻击。”

如果无法跟踪实施情况，安全建议有什么用呢？也许其他行业可以为网络安全提供一些建议。其他部门如何解决类似情况？

FDA 如何跟踪实施情况

在受监管的行业中，管理机构会提出改善安全和结果的建议。例如，FDA 有其质量案例计划。

质量案例计划旨在帮助识别始终生产高质量设备的设备制造商。这使得 FDA 能够识别具有始终如一的高质量且符合 FDA 法律法规的生产实践的参与者。

该计划寻求找出成功的制造商还有另一个原因。这也是帮助其他公司提高制造质量的一种方法。

在对器械质量数据以及 FDA 和行业利益相关者的反馈进行深入审查后，FDA 于 2011 年启动了质量案例。分析揭示了影响产品质量的常见制造风险。审查还表明，积极应对风险的公司生产效率更高，收到的投诉更少，需要的纠正措施更少，并且产品成本更低。

FDA 质量案例计划将合规性视为基线，而不是最终目标。在此基础上，它寻求纳入对质量至关重要的实践，从而改善结果。

FDA 还与医疗器械创新联盟 (MDIC)和其他利益相关者合作，以更加协作的方式促进医疗器械合规性和质量。这一纳入使得 FDA 能够发起超越传统监督模式的举措。

总之，FDA 通过以下方式跟踪和指导质量措施的实施：

• 深入的行业审查，包括确定表现最佳的企业

• 将合规性视为基线

• 关注合规性之外的质量措施

• 促进利益相关者的参与和协作，跳出框框思考。

美国联邦航空局是如何做的

美国联邦航空局呢？他们如何衡量安全实施情况？FAA 的安全管理系统 (SMS)是管理安全风险和确保安全风险控制有效性的正式、自上而下、全组织范围的方法。

美国联邦航空局使用结构化、系统化的流程，要求组织以与其他核心业务流程相同的优先级来管理安全。这适用于内部（FAA）和外部航空业组织（运营商和产品服务提供商）。

SMS 正在成为全球航空业的标准。此外，SMS 正在成为航空以外安全管理的标准，例如质量控制、职业安全与健康、安保和环境方面。

合格的产品和服务提供商将获得SMS证书。与此同时，监管机构将现代安全风险管理和保障理念融入可重复、主动的系统中。

通过认识到组织在事故预防中的作用，SMS 为证书持有者和 FAA 提供：

• 安全风险管理决策的结构化手段

• 在系统故障发生之前展示安全管理能力的一种手段

• 通过结构化的安全保证流程增强对风险控制的信心

• 监管者和证书持有者之间知识共享的有效界面

• 支持健全安全文化的安全促进框架。

我们可以看到网络如何通过采用类似的框架而受益。以创新的名义，有些人可能会对“义务管理”和“结构化流程”之类的事情感到畏缩。然而，除了为基础设施客户服务的公司创建软件“证书持有者”之外，可能别无选择。

改变管理策略

也许网络也可以从变革管理文化中得到启发。一些变革管理公司希望他们的客户衡量他们的变革管理活动的贡献。研究表明，衡量合规性与整体绩效之间存在正相关关系。

例如，变革管理认证机构Prosci询问研究参与者是否在内部衡量变革的合规性以及实现项目目标的整体绩效。在根据整体绩效衡量合规性的人中，76% 达到或超过了项目目标。相比之下，在没有衡量合规性和整体绩效的受访者中，只有 24% 达到或超过了目标。

坚持要求公司衡量其对网络安全建议的遵守情况会产生影响吗？根据变革管理，答案是肯定的。

未来的长期行业变化

目前，美国联邦政府已通过《关键基础设施网络事件报告法案》(CIRCIA)等立法。该法律要求包括金融服务在内的关键基础设施公司向 CISA 报告网络安全事件，例如勒索软件攻击。 

该行业仍远远落后于 FDA 的深入质量分析或 FAA 的结构化、系统化流程等举措。只要恶意行为者继续攻击关键基础设施，网络可能需要尽早采取类似的做法。

原文始发于微信公众号（祺印说信安）：老美如何跟踪网络安全实施情况？