華盛頓——拜登政府的新網絡戰略呼吁在多個經濟領域實施最低安全標準,在美國官員努力實施藍圖之際,這一戰略可能會遭到一些議員和企業的反對。
眾議院國土安全委員會的高級共和黨人在一份聲明中說,政府應該尋求與私營部門合作,而不是懲罰。至少有一名私人網絡安全專家警告說,已經在聯邦監管要求下運作的部門可能會抵制。
通過將軟件制造商納入將在網絡安全領域發揮作用的企業,奧巴馬政府也可能在測試該行業是否愿意淘汰那些不能提供足夠安全的參與者。通過推測聯邦政府為襲擊提供保險的可能性,該戰略提出了私營部門行為可能發生重大變化的問題。
上周發布的這項戰略稱,目前允許公用事業、食品和農業、醫療保健和其他部門達到自愿網絡安全標準的做法導致了“不充分和不一致的結果”,該戰略規定了“公平競爭環境”的規定。
田納西州共和黨眾議員馬克·e·格林。他是眾議院國土安全委員會(House Homeland Security Committee)主席,紐約州共和黨人安德魯·加巴里諾(Andrew Garbarino)。他在一份聲明中做出回應,敦促政府精簡現有法規,并在實施戰略時支持伙伴關系,而不是懲罰。
格林和加爾巴利諾說:“與我們的私營部門伙伴建立信任的關鍵是在政府各部門采取協調一致的措施,而不是鼓勵不同的和相互競爭的努力。”“我們必須明確聯邦網絡安全的角色和責任,而不是增加額外的負擔,以最大限度地減少政府的混亂和冗余。”
特朗普政府認為,在2020年底和2021年的高調網絡攻擊表明自愿標準不起作用后,關鍵行業需要強制性安全標準。2021年對殖民管道的攻擊關閉了東海岸的汽油供應,當軟件供應商SolarWinds在2020年底被黑客攻擊時,幾個聯邦機構本身也是受害者。
殖民地襲擊事件后,政府對管道運營商實施了最低安全標準。類似的標準后來擴展到航空和鐵路。
網絡安全和基礎設施安全局(CISA)負責監管16個可能面臨新標準的關鍵行業的網絡安全。但包括金融服務和醫療保健在內的許多行業由其他監管機構監管,其中一些監管機構解決網絡安全問題。
以金融服務行業為例,一些監管機構已經制定了網絡安全要求,新的網絡安全戰略帶來的更多監管可能會面臨阻力,總部位于英國的全球網絡安全公司Darktrace的首席執行官馬庫斯·福勒(Marcus Fowler)表示。
福勒說:“我認為,當你開始觸及幾個不同的領域時,你會遇到商業利益和其他領域,這些領域可能會侵蝕網絡安全的兩黨合作。”“我認為,我最先想到的是金融服務業,這是一個至關重要的行業,但也已經受到了很多監管。”
制定和實施該戰略的白宮官員承認,有必要精簡一些已經達到多項網絡標準的行業的監管,而其他行業幾乎沒有什么規則。
“我們必須在某些地方提高標準,在其他地方必須協調一致,以創造一個公平的競爭環境,”國家網絡代理主管肯巴·瓦爾登(Kemba Walden)上周在戰略與國際研究中心(Center for Strategic and International Studies)主辦的一次活動上表示。
民主黨眾議員本尼·湯普森。美國眾議院國土安全委員會(House Homeland Security Committee)高級成員特朗普說,有必要提出要求。
他說:“隨著網絡攻擊的頻率和復雜性的增加,對關鍵基礎設施的智能、協調一致、基于性能的安全要求可以幫助確保我們每天依賴的關鍵基礎設施具有足夠的彈性,以便在妥協之后繼續運行。”
參議院國土安全和政府事務委員會主席加里·彼得斯在一份聲明中表示,他將“仔細研究這一戰略,迅速考慮其中需要國會采取行動的部分。”
彼得斯,司徒。上一屆國會通過了一項法案,要求關鍵基礎設施運營商向聯邦機構報告網絡攻擊。
奧巴馬政府的網絡戰略還呼吁將導致網絡攻擊的不安全軟件的責任轉移給此類軟件的制造商。
“糟糕的軟件安全極大地增加了整個數字生態系統的系統性風險,并讓美國公民承擔最終成本,”該戰略稱。“我們必須開始將責任轉移到那些未能采取合理預防措施保護其軟件的實體身上,同時認識到即使是最先進的軟件安全程序也不能防止所有漏洞。”
該策略指出,由未經審查的第三方開發的軟件被嵌入到常用程序中,可能會讓黑客利用這些漏洞。
面向商業企業銷售的成熟軟件公司“確實認真對待安全問題,并在這方面投入了大量資金,”bsa -軟件聯盟(bsa -軟件聯盟是一個代表IBM、微軟、Salesforce等公司的貿易組織)的政策主管亨利·楊(Henry Young)說。
Young表示,將軟件安全性較差的責任轉移到公司身上,可能對整個行業有幫助,因為它能遏制那些對長期市場占有率不感興趣的"不可靠的運營商"。
該戰略稱,政府還在探索一種聯邦保險支持,以在“災難性網絡事件”后幫助網絡攻擊的受害者,并補充說,官員們將與立法者、州監管機構和保險業就如何設計這種支持進行磋商。
