2022年美國重大網絡安全法規年中盤點與展望

2022年上半年美國聯邦政府制訂和頒布了多個重要網絡安全法案和法規，并且可能會在下半年推進多個法案。

自本屆美國國會于2021年1月3日啟動以來，至少有498項立法全部或部分涉及網絡安全。

雖然迄今只有13項法案通過了兩院，僅有9項已成為總統簽署的法律。不過，自本屆國會啟動以來，美國許多重大網絡安全政府行動并非源于立法，而是源于行政部門的行動（編者：例如上周美國商務部頒布的對進攻性網絡安全工具的出口管制法規修訂版本）。

當然，2022年最引人注目的法規毫無疑問使拜登于2021年5月簽署的影響巨大的網絡安全總統行政令。

已成為法律的重要網絡安全法案

2022年美國政府制訂并走完立法流程的重要法案包括：

• 《2022關鍵基礎設施法-網絡事件報告》。該法規作為今年3月份龐大的綜合支出法案的一部分獲得通過，并由拜登簽署。該法案糾正了聯邦機構長期以來認為阻礙網絡安全事件管理的問題，即缺乏強制性的事件報告。該法律要求適用范圍內關鍵基礎設施實體和聯邦機構在確認發生重大網絡安全事件和勒索軟件支付后72小時內必須向國土安全部(DHS)網絡安全和基礎設施安全局(CISA)通報事件。它還要求受保護的實體在支付勒索軟件款項后在24小時內報告。與此同時，CISA已經開始積極制訂新的事件報告規則，計劃將持續至少兩年。
• 《更好的網絡犯罪度量法》（Better Cybercrimes Metric Act）。拜登于5月5日簽署的《更好的網絡犯罪度量法》旨在通過開發一種新的分類方法來對不同類型的網絡犯罪進行分類，從而改善聯邦政府跟蹤、衡量、分析和起訴網絡犯罪的方式。該分類法將輸入國家事件報告系統，以收集網絡犯罪報告。
• 《國家網絡安全預防聯盟法》。拜登于5月12日簽署成為法律的2021年國家網絡安全預防聯盟法案允許國土安全部與一個或多個由非營利實體組成的聯盟合作，以開發、更新和提供網絡安全培訓，以支持國土安全。
• 《2021州與地方政府網絡安全法》。兩院已經通過并正在等待拜登簽署的《2021年州與地方政府網絡安全法》案允許聯邦當局與州和地方實體以及私營公司進行網絡安全演習，為他們提供網絡安全資源。它還通過贈款和合作協議擴大國土安全部的職責，包括提供與網絡威脅指標、主動和防御措施和網絡安全技術、網絡安全風險和漏洞、事件響應和管理、分析和警告相關的援助和教育。

2022年下半年可能頒布的網絡安全立法

2022年下半年，幾項已經成熟的網絡安全立法有望頒布，值得重點關注的如下：

• 《政府間網絡安全信息共享法案》。由參議員Rob Portman (R-OH)發起的《政府間網絡安全信息共享法案》要求國土安全部與參議院和眾議院簽訂信息共享協議，以支持交換有關網絡安全威脅的信息。此外，根據該法案，國土安全部必須就協議與總統辦公廳和其他執行機構進行協商。
• 參議院國土安全委員會于5月下旬投票決定推進該法案。“正如我們最近看到的那樣，針對我們的關鍵基礎設施以及聯邦政府的網絡攻擊正在增加。不幸的是，國會中的一些網絡安全專業人員在從行政部門獲取有關網絡安全威脅的信息方面面臨長時間的延誤，這需要改變。”參議院國土安全和政府事務委員會高級成員波特曼說。
• 《國土安全部在網絡空間法案中的角色與責任》。眾議院于5月中旬通過并由眾議員唐培根(R-NE)于5月中旬提議的《國土安全部在網絡空間中的角色和責任》法案要求國土安全部報告其在網絡空間安全事件中的角色和責任及參與程度。國土安全部必須與CISA協調后報告。
• 培根說，他在勒索軟件攻擊殖民地輸油管道（Colonial Pipeline）和JBS肉類加工設施后提出了該法案。“聯邦政府對這些網絡事件的反應不夠充分，暴露了我們在保護關鍵基礎設施方面的差距和混亂，”培根說：“很明顯，我們的網絡事件響應框架必須不斷發展以應對威脅。”
• 《總統杯網絡安全競賽法案》。眾議院于5月17日通過并由眾議員Elaine Luria (D-VA)支持的總統杯網絡安全競賽法案將把由CISA主辦的年度總統杯網絡安全比賽正式化為法律。
• 《網絡安全撥款法案》。由眾議員Andrew Garbarino (R-NY)發起并于5月18日在眾議院通過的《2022年網絡安全撥款法案》使CISA能夠為中小學網絡安全和基礎設施安全教育和培訓計劃提供撥款或其他財政援助。州、地方、高等教育機構和非營利組織將有資格獲得援助。

網絡空間日光浴室委員會2.0的預測

頗具影響力的網絡空間日光浴室委員會（Cyberspace Solarium Commission）的新版本——CSC 2.0項目的執行董事馬克·蒙哥馬利（Mark Montgomery）表示，他預測在今年的國防授權法案(NDAA)中頒布以下網絡安全立法，NDAA是一項較晚的常用于實現網絡安全目標的年度立法工具。根據最初的日光浴室委員會的建議，他對NDAA的“四大”愿望清單是：

• 《保護具有系統重要性的關鍵基礎設施法案》。去年由John Katko (R-NY)和Abigail Spanberger (D-VA)提出的《保護具有系統重要性的關鍵基礎設施法案》將要求CISA明確定義對國家安全、經濟穩定和公共衛生影響最大的“具有系統重要性”的關鍵基礎設施的范圍。蒙哥馬利說，它還需要設計“一個公私契約，為這些資產建立最低級別的安全性，以及一個第三方測試機制和更靈活的報告要求，”蒙哥馬利說：“參與的資產將獲得更多的情報信息，參與甚至改變情報收集機制。最重要的是，當它們受到APT等惡意網絡攻擊者的攻擊時將獲得更好的保護。”
• 《網絡威脅信息協作環境計劃》（前身為聯合協作環境）。蒙哥馬利說，“網絡威脅信息協作環境計劃將指導國土安全部開發一個信息協作環境，其中包含用于信息分析的技術工具和一個門戶，相關方（政府和私營部門）通過該門戶提交和自動化信息輸入和訪問環境，以實現可互操作的數據流，使聯邦和非聯邦實體能夠識別、減輕和防止惡意網絡活動。”
• 《網絡統計局立法》。網絡統計局立法是日光浴室委員會的一項關于創建網絡統計局的立法提案，于去年11月提出，作為2021年美國基礎設施防御法案的一部分，由參議員Angus King (I-Me)贊助。該局將“收集和分析有關網絡安全的信息，并編譯、分析和傳播統一的、匿名的、匯總的國家網絡空間數據，這些數據將作為所有相關網絡事件的普遍性、程度和屬性的指示，”蒙哥馬利說：“它將與NIST（國家標準與技術研究所）協調，為這些網絡統計數據推薦國家標準。它還將開展或支持與收集或分析網絡統計數據的方法有關的研究。”
• 《2021網絡外交法案》。眾議院于2021年4月通過了由參議員邁克爾·麥考爾(R-TX)和吉姆·朗之萬(D-RI)提議的《2021年網絡外交法案》。蒙哥馬利認為，該法案可以編入給國務院重新授權的資金，作為NDAA的替代方案。蒙哥馬利說，該法案將“建立一個局，直接向國務卿或副總統匯報，負責協調國家在網絡空間政策和數字外交方面的工作，以鼓勵國家在網絡空間中負責任的行為，并推進保護互聯網基礎設施、服務于符合美國利益的政策，提高競爭力，維護民主價值觀。”

來源：@GoUpSec