美國加利福尼亞州《加強 K-12 網絡安全法案》：激勵教育公司和學校加強網絡安全

最近在眾議院提出的一項法案將有助于為 K-12 供應商定義最佳網絡安全實踐，并概述可能使某些專注于在線安全的教育公司受益的新支出。

加利福尼亞州眾議員 Doris Matsui 于 6 月 17 日推出的《加強 K-12 網絡安全法案》將責成國土安全部制定一項計劃，以傳播 K-12 網絡安全最佳實踐、培訓和經驗教訓，并與推薦州教育機構和學區購買在線安全工具。

該法案呼吁國土安全部與學校 IT 供應商和網絡安全公司協商，以匯總最佳實踐清單。

K12 安全信息交流中心的國家主管道格·萊文正在游說松井法案，他預計聯邦和州級將在 K-12 網絡安全方面采取重大監管行動，盡管很難確切地說這何時發生。K-12 安全信息交換中心運營著 K-12 網絡安全資源中心，這是一個跟蹤 K-12 網絡安全事件的在線數據庫。

由于眾議院教育和勞工委員會目前沒有考慮該措施的計劃，并且參議院尚未引入配套立法，因此眾議院法案可能面臨陡峭的攀升成為法律。

在上一屆國會任期于 12 月結束之前，立法者未能對 2020 年提出的類似法案進行投票。

他說，學校越來越依賴技術進行遠程學習，政策制定者認為有必要開始對學區和供應商施加基線互聯網安全期望。

萊文說，隨著網絡安全政策可能收緊，學區和政府機構將越來越多地關注已經制定并遵守一系列網絡安全最佳實踐的教育公司。

如果獲得通過，聯邦法案將創建一個 DHS 運行的數據庫，該數據庫將推薦學校購買的安全工具和服務，并允許學校和各州尋找和申請資助機會以改善網絡安全。

萊文說，HR 4005 沒有說明這筆錢將如何分配，因此如果立法獲得通過，聯邦政府可能會就可能有資格獲得任何網絡安全補助金的費用發布進一步指導。

除了定義最佳實踐和概述 K-12 網絡安全資金的新渠道外，該立法還提議開發 K-12 網絡攻擊事件的自愿登記處，并要求國土安全部每年報告分析 K-12 各個級別的網絡事件。

要收集到注冊表中的信息可能包括對事件規模的描述，以及每個事件是否是由破壞、惡意軟件、分布式拒絕服務攻擊或旨在導致漏洞的其他方法引起的。

萊文說：“該法案當然響應了國會議員從該領域聽到的需求。” “學區感覺受到勒索軟件的攻擊。”

萊文匯編的數據表明，許多網絡攻擊都針對教育公司存儲的教師和學生數據，而不僅僅是在學校內部。

根據 K12 網絡安全資源中心關于 K-12 網絡安全狀況的最新年度報告，影響公共 K-12 學區的所有數據泄露事件中至少有 75% 是由涉及學校供應商和其他合作伙伴的事件引起的。

聯邦貿易委員會最近加大了對 K-12 數據泄露的關注，表明對收集 K-12 學生和教師數據的公司采取更嚴格的執法姿態。

支持加強 K-12 網絡安全法案的組織包括全國中學校長協會、全國小學校長協會、首席州立學校官員委員會、全國首席信息官協會、國家教育技術指導協會、和學校網絡聯盟。

松井在一份聲明中說：“隨著網絡犯罪分子變得越來越老練和咄咄逼人，我們必須提供必要的資源和信息來保護我們的學校。” “增強 K-12 網絡安全法案提供了路線圖，并為我們的網絡基礎設施做好了應對未來威脅的準備。”