美剛通過的新國防法案涉網絡安全部分淺讀
美國參議院剛以89票對10票通過通過了《國防授權法案》(NDAA),批準了7680億美元的年度國防開支法案,其中包含網絡安全條款。該法案現已提交到總統喬·拜登的辦公桌。
龐大的國防開支路線圖支持政府對美國網絡司令部總預算的6.05億美元請求,并授予該組織負責人執行預算權力。它“使國防部首席信息官與國家安全局網絡部門之間的關系“現代化”,并創建了一個辦公室來集中五角大樓的網絡威脅信息產品。
在與該法案文本一起發布的一份解釋性文件中,美國眾議院軍事委員會表示,該法案中的網絡條款將啟動“自SolarWinds事件以來,通過立法對CISA進行最廣泛的授權和擴展”。
除了顯著增加網絡安全投資外,該法案還賦予美國網絡司令部指揮官更大的預算權力,“現代化”國防部首席信息官與國家安全局負責網絡安全的部門之間的關系,同時還建立了一個項目辦公室在聯合部隊總部-DODIN內集中管理整個國防部的網絡威脅信息產品。
該法案還規定了網絡武器和網絡能力的第一個分類,并要求國防部長建立一個軟件開發和采購干部,通過提供專家建議、援助和資源來協助開發和采購軟件。
國會創建的一項贈款計劃將與以色列協調資助網絡安全研究。
一個新的國家級網絡鍛煉計劃“全國網絡演習計劃”也在該法案中被概述。該計劃將測試該國的網絡準備情況,它將迫使CISA和其他政府機構測試國家網絡事件響應計劃,并“在可行的范圍內,模擬網絡事件導致政府或關鍵基礎設施網絡部分或完全喪失能力”。修正案還要求CISA至少每兩年更新一次事件響應計劃。
該法案還規定,國防部現在需要提交一份關于其網絡安全成熟度模型認證計劃如何影響小型企業的報告。專家們還吹捧增加了學徒計劃以擴大可用的網絡人才以及退伍軍人培訓計劃。
CISA為一項名為“ CyberSentry ”的計劃提供了更多資金,該計劃提供“對擁有或運營支持國家關鍵功能的工業控制系統的關鍵基礎設施的網絡安全風險的持續監控”。
SecurityGate的首席信息安全官Bill Lawrence 表示,CyberSentry是一個頗有爭議的條款,因為它讓CISA“可以訪問存儲在CyberSentry堆棧中的所有網絡流量,包括通信內容,以進一步分析警報的來源和/或評估網絡狀態。”
參考文檔:
https://www.dhs.gov/sites/default/files/publications/privacy-pia-cisa-cybersentry-january2021.pdf
“CISA幫助保護美國關鍵基礎設施是有正當理由的,正如CI所有者和運營商不希望在其網絡上使用政府傳感器的正當理由一樣,安全提供商也有正當理由認為政府正在為其提供免費網絡服務(當然是用納稅人的錢)。”勞倫斯說。
“國土安全部在CyberSentry的文章中確實包含了大量的隱私考慮因素。閱讀該計劃的戰術和戰略目標并查看是否包括與所有CI資產所有者和運營商的快速信息共享會很有幫助,并且幫助確定這種果汁是否值得向商業供應商擠壓。我有我的擔憂。”
但引起最大興趣的是該法案所缺乏的內容,即網絡事件報告條款,該條款經過激烈辯論并最終在最后一刻被取消。
幾個月來,民主黨和共和黨參議員就NDAA中網絡事件報告條款的語言爭論不休。11月,兩名民主黨人——加里·彼得斯和馬克·華納——與兩名共和黨人——羅伯·波特曼和蘇珊·柯林斯合作 ,對NDAA提出了一項新修正案,該修正案將迫使關鍵基礎設施所有者和運營商以及民間聯邦機構向CISA報告所有網絡攻擊和勒索軟件付款。
但到了12月,華盛頓郵報報道佛羅里達州參議員里克斯科特對勒索軟件報告條款提出異議,稱其過于寬泛,要求參議員將語言限制在16個關鍵行業的企業。消息人士透露,關于勒索軟件語言的辯論持續時間太長,眾議院和參議院的談判人員最終將整個條款排除在外。
勞倫斯指出,一些公司在發現漏洞或勒索軟件攻擊后72小時內報告入侵行為或在支付后24小時內支付贖金方面存在問題。他解釋說,較小的組織沒有可用的24/7安全運營中心,這限制了他們響應此類事件的能力,更不用說在事件響應期間告訴美國政府發生了什么。
眾議員Bennie Thompson和眾議員Yvette Clarke指出,網絡安全事件響應立法已包含在9月通過的眾議院NDAA 中。兩人分別擔任國土安全委員會主席和網絡安全、基礎設施保護和創新小組委員會主席,在一份聲明中解釋說,為將網絡事件報告納入法案做出了大量努力,但“最終在 NDAA 中獲得它的時間已經不多了。”
湯普森和克拉克說:“參議院共和黨領導層出現功能障礙和分歧,直到今天中午才得到解決-遠遠超過了NDAA的最后期限。這個結果令人失望并破壞了國家安全。”
“我們曾希望通過向總統辦公桌發送網絡事件報告立法來紀念SolarWinds供應鏈攻擊被發現一周年。相反,參議院共和黨領導人拖延了很多事情,以至于關閉在NDAA中網絡事件報告的窗口。我們對我們進入NDAA的勢頭沒有取得成功深感失望,但我們完全致力于跨越過道并與參議院合作,尋找另一條前進的道路。”
