美国总统拜登(Joe Biden)当地时间7月28日签署了一份国家安全备忘录,要求联邦机构制定关键基础设施的网络安全性能目标。备忘录指出,保护美国的关键基础设施是政府在联邦、州、地方、部落和领土层面的责任,也是基础设施所有者和运营商的责任。对控制和运营国家所依赖的关键基础设施的系统构成的网络安全威胁,是美国面临的最重要和日益严重的问题之一。控制这一基础设施的系统的退化、破坏或故障可能会对美国的国家和经济安全造成重大损害。备忘录共计五个部分,其中第2 和第3部分重点阐述了加强工业控制系统网络安全的计划和推进落实计划。
这一指令是拜登政府的最新举措,旨在让关键行业参与改善可能影响国家安全和经济的网络安全领域。在这份行政备忘录之前,美国运输安全管理局(Transportation security Administration)上周发布了一项安全指令,要求运输安全管理局指定的关键管道所有者和运营商实施缓解措施,以防范勒索软件和其他威胁。
“考虑到我们今天面临的不断演变的威胁,我们目前的防御态势是远远不够的,”一名高级政府官员在7月27日的电话会议上告诉记者。“我们真的拖延了很长一段时间。政府致力于利用我们拥有的每一项权力,尽管这些权力有限,我们也对自愿和强制性的新方法持开放态度。”
美国国土安全部(Department of Homeland Security)的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)以及商务部(Commerce Department)的国家标准与技术协会(National Institute of Standards and Technology)将牵头实施这一举措。这位官员没有详细说明CISA和NIST在性能目标中可能包括哪些基准,但表示,该计划将进一步推进政府实现美国网络防御现代化的目标。
备忘录概述道:“这些绩效目标应该成为所有者和运营商在网络安全实践和防御态势方面的明确指导,美国人民可以信任这些基本服务,也应该期待这些服务。”
备忘录规定,9月22日是国土安全部发布关键基础设施部门初步目标的最后期限。最终的跨部门和单个行业目标将在备忘录发布后的一年内发布。
该备忘录还正式确立了拜登总统的工业控制系统网络安全倡议,该倡议于今年4月在电力部门启动。该官员表示,作为试点的结果,代表近9000万客户的150多家电力公司正在部署或同意部署控制系统网络安全技术。天然气和管道行业是该计划的下一个重点。
“我们想说的是,联邦政府不能单独做这件事,”这位官员告诉记者。“这些规定可能是自愿的,但我们希望并期望所有负责任的关键基础设施所有者和运营商都能实施这些规定。”
近几个月来,一系列备受瞩目的网络攻击事件让美国关键行业的安全漏洞暴露在聚光灯下。其中,就在阵亡将士纪念日(Memorial Day,5月的最后一个星期一)周末前夕,一场勒索软件攻击迫使主要燃料供应商Colonial Pipeline停产,导致美国出现恐慌引发的天然气短缺。
政府官员说,目前,政府是在现有权力范围内开展工作的,涉及关键行业的企业时,现有权力范围非常小。美国绝大多数的关键基础设施都由私营部门拥有。关键行业的安全标准基本上是零敲碎打的,由部门或州和地方的指导方针制定。
这位高级官员承认,要从自愿标准转变为强制性要求,可能需要与国会合作。这位官员说:“缺乏立法,没有一个全面的方法来要求部署安全技术和实践,以解决我们面临的真正威胁环境。”
国会议员已经提出了一系列旨在解决关键基础设施安全漏洞的法案,其中包括弗吉尼亚州民主党参议员马克·华纳(Mark Warner)提出的立法。这将要求关键行业向联邦政府报告违规行为。
该官员表示,政府还在探索绩效激励措施,,如拨款、税收抵免和网络保险,以加速自愿采纳网络安全措施。
关于改善关键基础设施控制系统网络安全的国家安全备忘录
文章来源:网空闲话
本文始发于微信公众号(互联网安全内参):拜登签发国家安全备忘录加速推动关键基础设施网络安全升级
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论