华盛顿——拜登政府的新网络战略呼吁在多个经济领域实施最低安全标准,在美国官员努力实施蓝图之际,这一战略可能会遭到一些议员和企业的反对。
众议院国土安全委员会的高级共和党人在一份声明中说,政府应该寻求与私营部门合作,而不是惩罚。至少有一名私人网络安全专家警告说,已经在联邦监管要求下运作的部门可能会抵制。
通过将软件制造商纳入将在网络安全领域发挥作用的企业,奥巴马政府也可能在测试该行业是否愿意淘汰那些不能提供足够安全的参与者。通过推测联邦政府为袭击提供保险的可能性,该战略提出了私营部门行为可能发生重大变化的问题。
上周发布的这项战略称,目前允许公用事业、食品和农业、医疗保健和其他部门达到自愿网络安全标准的做法导致了“不充分和不一致的结果”,该战略规定了“公平竞争环境”的规定。
田纳西州共和党众议员马克·e·格林。他是众议院国土安全委员会(House Homeland Security Committee)主席,纽约州共和党人安德鲁·加巴里诺(Andrew Garbarino)。他在一份声明中做出回应,敦促政府精简现有法规,并在实施战略时支持伙伴关系,而不是惩罚。
格林和加尔巴利诺说:“与我们的私营部门伙伴建立信任的关键是在政府各部门采取协调一致的措施,而不是鼓励不同的和相互竞争的努力。”“我们必须明确联邦网络安全的角色和责任,而不是增加额外的负担,以最大限度地减少政府的混乱和冗余。”
特朗普政府认为,在2020年底和2021年的高调网络攻击表明自愿标准不起作用后,关键行业需要强制性安全标准。2021年对殖民管道的攻击关闭了东海岸的汽油供应,当软件供应商SolarWinds在2020年底被黑客攻击时,几个联邦机构本身也是受害者。
殖民地袭击事件后,政府对管道运营商实施了最低安全标准。类似的标准后来扩展到航空和铁路。
网络安全和基础设施安全局(CISA)负责监管16个可能面临新标准的关键行业的网络安全。但包括金融服务和医疗保健在内的许多行业由其他监管机构监管,其中一些监管机构解决网络安全问题。
以金融服务行业为例,一些监管机构已经制定了网络安全要求,新的网络安全战略带来的更多监管可能会面临阻力,总部位于英国的全球网络安全公司Darktrace的首席执行官马库斯·福勒(Marcus Fowler)表示。
福勒说:“我认为,当你开始触及几个不同的领域时,你会遇到商业利益和其他领域,这些领域可能会侵蚀网络安全的两党合作。”“我认为,我最先想到的是金融服务业,这是一个至关重要的行业,但也已经受到了很多监管。”
制定和实施该战略的白宫官员承认,有必要精简一些已经达到多项网络标准的行业的监管,而其他行业几乎没有什么规则。
“我们必须在某些地方提高标准,在其他地方必须协调一致,以创造一个公平的竞争环境,”国家网络代理主管肯巴·瓦尔登(Kemba Walden)上周在战略与国际研究中心(Center for Strategic and International Studies)主办的一次活动上表示。
民主党众议员本尼·汤普森。美国众议院国土安全委员会(House Homeland Security Committee)高级成员特朗普说,有必要提出要求。
他说:“随着网络攻击的频率和复杂性的增加,对关键基础设施的智能、协调一致、基于性能的安全要求可以帮助确保我们每天依赖的关键基础设施具有足够的弹性,以便在妥协之后继续运行。”
参议院国土安全和政府事务委员会主席加里·彼得斯在一份声明中表示,他将“仔细研究这一战略,迅速考虑其中需要国会采取行动的部分。”
彼得斯,司徒。上一届国会通过了一项法案,要求关键基础设施运营商向联邦机构报告网络攻击。
奥巴马政府的网络战略还呼吁将导致网络攻击的不安全软件的责任转移给此类软件的制造商。
“糟糕的软件安全极大地增加了整个数字生态系统的系统性风险,并让美国公民承担最终成本,”该战略称。“我们必须开始将责任转移到那些未能采取合理预防措施保护其软件的实体身上,同时认识到即使是最先进的软件安全程序也不能防止所有漏洞。”
该策略指出,由未经审查的第三方开发的软件被嵌入到常用程序中,可能会让黑客利用这些漏洞。
面向商业企业销售的成熟软件公司“确实认真对待安全问题,并在这方面投入了大量资金,”bsa -软件联盟(bsa -软件联盟是一个代表IBM、微软、Salesforce等公司的贸易组织)的政策主管亨利·杨(Henry Young)说。
Young表示,将软件安全性较差的责任转移到公司身上,可能对整个行业有帮助,因为它能遏制那些对长期市场占有率不感兴趣的"不可靠的运营商"。
该战略称,政府还在探索一种联邦保险支持,以在“灾难性网络事件”后帮助网络攻击的受害者,并补充说,官员们将与立法者、州监管机构和保险业就如何设计这种支持进行磋商。
