美國政府分類推進關鍵基礎設施領域強制性網絡安全要求

美國白宮正在推進一項廣泛工作，通過與聯邦機構協調、與國際盟友合作以及推動對行業領域的強制令，來保護關鍵基礎設施免遭黑客攻擊。上述保障措施計劃是美國政府正在進行的范式轉變的一部分，即從行業自愿性措施轉向實施強制性規則。

美國政府的總體方法是依靠對特定行業領域負責的機構以及網絡安全和基礎設施安全局（CISA）的專業知識。美國政府將關鍵基礎設施領域分為五個類別以推進最低基線網絡安全措施，包括：繼續使用現有機構權限的領域；執行未使用監管權限的領域；將網絡納入當前權限的領域；將編制強制令的未明確授權領域；將從國會尋求更多權限的領域。部分領域最新進展情況如下：水壩領域監管機構較多，需要確定最低安全標準；國土安全部近期將更新化工領域的網絡安全標準；環境保護局本月將針對水務部門發布一份安全計劃實施備忘錄；航空業的未來行動將在未來數月內出臺；信息技術和政府設施等某些部門的主要責任由國土安全部負責。

美國政府還在尋求國際合作伙伴，以確保主要盟友的基礎設施足夠安全以應對任何潛在威脅。2022年12月，美國召集捷克、德國、立陶宛、荷蘭、斯洛伐克和波蘭的政府和能源行業官員在華沙會晤并參加培訓。此次培訓由美國愛達荷國家實驗室主持，側重于保護工業控制系統、硬件和軟件，以協助各國加強網絡防御。

奇安網情局編譯有關情況，供讀者參考。

美國白宮正在推進一項廣泛的努力，通過與聯邦機構協調、與國際盟友合作以及推動對行業領域的強制令，以保護關鍵基礎設施免遭黑客攻擊。

這些額外強制性保障措施的計劃是美國政府正在進行的范式轉變的一部分，以轉向更嚴格的規則。這反映在即將出臺的美國國家網絡安全戰略、聯邦官僚機構的工作以及主要政府網絡人物的公開聲明中。

負責網絡和新興技術的美國副國家安全顧問安妮·紐伯格表示，“針對美國人所依賴的關鍵服務所面臨的威脅，自愿性努力還不夠。”

美國官員和外國官員簡要介紹了最近和不遠將來的網絡安全工作。他們描述的一些內容包括以前未被報道的有關監管環境的信息以及聯邦網絡安全政策的未來動向。

發展方向

安妮·紐伯格表示，美國的總體方法是依靠對特定行業領域負責的機構以及網絡安全和基礎設施安全局（CISA）的專業知識。她表示，當安全實踐在各個領域都很普遍時，這涉及到依賴CISA，但主要負責的機構知道什么時候需要以不同的方式保護某些東西。

美國白宮已將行業領域分為幾個類別，以推進最低基線：

● 繼續使用現有機構權限的能力。

● 執行未使用的監管權限。

● 將網絡納入當前權限。

● 將編制強制令的未明確授權領域。

● 將從國會尋求更多權限的領域。

聯邦機構已經采取措施對某些行業領域施加網絡安全要求。例如，運輸安全管理局（TSA）規定關鍵管道運營商在遭受重大網絡攻擊時必須在24小時內通知該機構。不出所料，許多規則在業界并不受歡迎。

某位以匿名為條件從而更坦誠地談論問題的美國白宮官員分享了幾個領域計劃的一些最新情況：

水壩領域：該官員表示“信不信由你，水壩是最復雜的。內政部監督一些，國防部監督一些，國土安全部監督一些，規則與權限幾乎一致。所以要弄清楚‘是否有最低標準？’實際上非常復雜。”黑客以前曾攻擊過大壩基礎設施。2016年，美司法部宣布對與伊朗政府有聯系的黑客提出指控，這些黑客據稱攻擊了紐約的一座大壩。

化工行業：該官員表示，國土安全部有權保護化工設施，但網絡安全標準尚未更新。國土安全部將在春季開始努力改變這種狀況。

水務部門：行業團體長期以來一直在等待環境保護局（EPA）針對水務部門的計劃。該機構的目標是在1月發布一份實施備忘錄。該官員稱這是CISA與具有特定部門責任的機構間合作的“典范”。

該官員表示，“EPA進行現有供水系統的衛生調查。他們缺乏網絡安全專業知識，他們的衛生服務調查從來沒有網絡成分。因此，他們正在最終確定一項現在將包括網絡組成部分的規則。現在我們想說‘CISA，我們需要你派遣人員或通過招聘來補充——無論添加什么，這樣當一個團隊去做衛生調查時，而不用進行兩次調查。’”

航空業：該官員表示，航空業的下一步行動“將在未來幾個月內出臺”。行業和立法者希望看到負責管道、航空和鐵路部門的TSA解決關于它是否有足夠的人員和資金來監督任何強制性行業努力的問題。該官員表示，“他們提出了資源請求，這就是我們要找到的東西，因為我們知道扼殺努力的最好方法是當我們要求人們做工作時，他們提交工作但沒有任何反應。”

● 信息技術和政府設施等某些部門的主要責任落到國土安全部。該官員表示，“有趣的是，這是我們找不到強制執行最低限度的網絡安全措施權限的地方。”

美國國家安全委員會有兩個人專門負責與各機構協調，并就這些規則提供網絡安全指導。

國際倡議

安妮·紐伯格表示，美國白宮還在尋找國際合作伙伴，這反映在上個月以前未被報道的培訓課程中。她表示，“仍然存在俄羅斯對歐洲能源系統發動另一次網絡攻擊的擔憂。為確保我們的主要盟友的基礎設施足夠安全以應對任何潛在威脅，我們與波蘭密切合作，召集地區的七個國家進行培訓，以加強它們的網絡防御。”

來自美國、捷克、德國、立陶宛、荷蘭、斯洛伐克和波蘭的政府和能源行業官員于2022年12月在華沙會面，愛達荷國家實驗室主持了培訓。培訓側重于保護工業控制系統、硬件和軟件，這些通常聚焦于設備的安全和運營。

波蘭總理府負責數字事務的國務秘書雅努什·切申斯基表示，在最近的勒索軟件峰會上與安妮·紐伯格的對話導致了此次培訓課程。

在俄烏沖突中保護能源部門的需要是一個關鍵動機。雅努什·切申斯基表示，“我們擔心溢出效應，因為在波蘭，原本100%是民用的目標在支持烏克蘭與俄羅斯作戰的整個過程中卷入了不同的部分，因此它們已成為目標。他們中的許多并沒有準備好將其網絡態勢從僅僅是另一家企業升級為成為俄羅斯人可能的目標。”

美國能源部網絡安全、能源安全和應急響應辦公室負責人普什·庫馬爾稱，這種合作也有利于美國。他表示，“如果他們從網絡的角度看到那里正在發生的事情，并且如果他們能夠與我們分享，這也有助于我們變得更強大，反之亦然。”

雅努什·切申斯基表示，也許合作中最重要的部分是外國盟友和他們各自的行業能夠更好地相互了解。他稱，“這是非常非常重要的，在一天結束時，你基本上知道在發生某些事情時該與誰交談，而做到這一點的最佳方式是啤酒和披薩。”