拜登政府将为关键基础设施网络安全制定跨部门绩效目标,作为强调自愿合作的新努力的一部分,但现任和前任官员在网络攻击令人担忧的情况下看到了联邦授权的潜力。
在周三发布的一份国家安全备忘录中,拜登指示网络安全和基础设施安全局和国家标准与技术研究所“制定和发布关键基础设施的网络安全性能目标,以进一步就关键基础设施所有者和运营商应遵循以保护国家和经济安全以及公共健康和安全。”
拜登指示 CISA 在 9 月 22 日之前为关键基础设施部门使用的控制系统制定“初步目标”。根据备忘录,控制系统的最终跨部门目标将在一年后发布。
周二,一位高级官员向记者通报说,“特定行业的法规错综复杂,并不能让我们说我们有信心在技术、治理和实践方面存在网络安全门槛。”
这位官员强调了金融和化工行业如何具有特定行业的要求,而电力公司的网络安全主要在州和地方层面进行监管。
该备忘录还正式建立了工业控制系统网络安全倡议。拜登政府于 4 月首次启动了该计划,作为电力部门的试点计划。该官员表示,作为试点计划的一部分,代表近 9000 万居民用户的 150 家电力公司正在部署控制系统网络安全技术。
这位官员说:“如果这些技术到位,就会阻止在 Colonial Pipeline 发生的事情,因为它们将网络的操作技术端连接到网络的 IT 端。”“天然气管道的行动计划正在进行中,其他部门的其他举措将在今年晚些时候跟进。”
Suzanne Spaulding 曾在国土安全部领导 CISA 的前身组织,现在在战略与国际研究中心工作,她称赞该备忘录及其对国家关键职能的强调是“比仅关注关键基础设施部门更准确的优先排序。”
“我们关心的是该基础设施执行我们所依赖的关键功能的能力,例如提供电力和清洁水,”斯波尔丁告诉联邦新闻网。“这些功能通常是相互依赖的。例如,供水设施需要电力,而发电往往需要水。对国家关键功能的关注抓住了这种相互依存关系,并提醒我们,我们关心的是功能,而不仅仅是计算机。”
虽然目标和倡议是自愿的,但斯波尔丁还提到了对潜在任务的引用。在殖民地管道勒索软件攻击之后,运输安全管理局已经对管道运营商发布了新要求。
“重点是自愿合作,但它暗示了授权的可能性,例如 TSA 为管道颁布的那些,其中提到可能需要‘新的法律授权’,”她说。
前国土安全部高级官员克里斯·库米斯基 (Chris Cummiskey) 表示,白宫和国会也面临着在关键基础设施网络安全方面取得进展的压力,比如针对 Colonial Pipelines、JBS Foods 和其他关键部门的黑客攻击。咨询公司。
“你看到了这种从自愿迁移的转变——尽管他们仍在努力通过一些自愿步骤实现这一目标——但人们认识到,对于报告事件和在构成整个工业园区的公司采用基本标准供应链,它可能必须被强制执行,”Cummiskey 告诉联邦新闻网。
这位高级政府官员提到了可能的要求,称政府在 5 月的网络安全行政命令中“吃了自己的狗粮”,该命令指示联邦机构加强网络防御。
“我认为我们表现出愿意做我们需要做的工作,而且我认为我们表现出愿意以新的方式分享信息,提出自愿的方式,但也明确表示鉴于威胁,我们需要紧急采取行动,我们需要考虑所有选项,无论是自愿的还是强制性的,以实现我们需要的快速进展,”这位官员说。
但这位官员承认,政府需要国会采取行动才能实现强制性绩效要求。
“由于缺乏立法,没有一种全面的方法要求部署安全技术和实践来应对我们面临的威胁环境,”这位官员说。
强制性事件报告
在去年的 SolarWinds 黑客攻击和 5 月的殖民地管道关闭等攻击之后,国会已经在讨论对行业的新网络要求。
上周,参议员马克华纳 (D-Va.) 和 14 位共同发起人引入了强制性网络事件报告立法。它将适用于联邦机构、承包商和关键基础设施公司。
在周三的一份声明中,华纳将拜登的备忘录与他的报告立法联系起来。
“不幸的是,长期以来我们严重依赖自愿报告这些网络入侵,这限制了我们有效响应的能力,”华纳说。“为了更好地预测和应对未来的网络事件,国会必须迅速通过 2021 年网络事件通知法案,该法案将与政府今天为保护我们的关键基础设施而采取的措施相协调。”
在周二的参议院司法委员会听证会上,政府官员也支持事件报告立法。
“我们需要一个联邦网络事件报告标准来处理构成重大风险的违规行为,因为不一致的自愿报告是不够的,”联邦调查局网络部门助理主任 Bryan Vorndran 告诉委员会。
CISA 负责网络安全的执行助理主任埃里克·戈德斯坦 (Eric Goldstein) 也支持更高级别的事件报告。
“我们的观点是,任何努力增加向 CISA 报告的事件数量并与我们的联邦执法合作伙伴共享都是绝对必要的,”他说。“没有这份报告,我们无法提供帮助。我们无法解决您和您的同事今天提出的许多问题,以了解问题的广度和范围。而且我们无法开发可以有效共享以防止其他入侵的信息。”
Goldstein 回应了对 Colonial Pipeline 勒索软件事件感到沮丧的参议员。参议员谢尔顿怀特豪斯 (DR.I.) 称其为关于关键基础设施网络安全的主要自愿方法的“失败案例研究”。
“我们期待与国会和我们跨机构的合作伙伴合作,以确保我们能够迅速提高各个实体的网络安全标准,无论这些实体在哪里都可以提供国家关键功能,”戈德斯坦说。
但 Cummiskey 表示,CISA 正处于困境,因为它现在正在考虑为关键基础设施公司制定新标准。被设想为行业愿意与之合作的“白帽”友好机构,CISA越来越多地看到要求其成为更多监管实体的呼声。
“拥有标准很好,但如果你不去执行它们,那么它就会非常不平衡,如果出现问题,可能会出现问题,”Cummiskey 说。“有人将不得不为此贴上标签。我的猜测是 CISA 不想成为该责任的受让人。”