美“關基”保護新舉措--CISA啟動“具有系統性重要的關鍵基礎設施”標定工作

美國網絡安全和基礎設施安全局局長伊斯特利(Jen Easterly)當地時間10月29日表示，該機構已經開始著手規劃美國的關鍵基礎設施保護，即啟動“具有系統性重要的關鍵基礎設施”標定計劃，這類基礎設施可謂“關基”中的“關基”，如果這些設施遭到黑客攻擊，可能會對國家安全和經濟利益造成嚴重后果。此項提議是在5月份Colonial油氣管道公司遭勒索攻擊后由網絡空間日光浴委員會提出的，試圖改善一直以來對關鍵基礎設施監管不力的局面。

 CISA力推新的“關基”監管模式

給這樣的基礎設施貼上標簽是網絡空間日光浴委員會提案的主題，該委員會是一個國會委員會，建議確定“具有系統性重要的關鍵基礎設施”，簡稱SICI(systemically important critical infrastructure)。議員們近幾個月來已經提出了SICI法案，但是伊斯特利說，不管有沒有法案，國土安全部都在繼續推進。

她在戰略與國際研究中心(Center for Strategic and International Studies)舉辦的一場活動上表示:“不管這是否會成為法律，我當然希望它會成為法律，我們已經在思考這個模式。”“我們現在所處的狀態是，關鍵基礎設施過于脆弱。坦率地說，這是我每天最擔心的事情。”

CISA將這項工作稱為“主要的系統性重要實體”，而不是SICI。標準將基于該機構用于檢查關鍵基礎設施的現有方法，以及風險是如何交織在一起的。

伊斯特利說:“我們正在國家風險管理中心(National Risk Management Center)構建各種不同方法的原型，試圖開始識別那些實際上具有系統重要性的實體，我們是基于經濟中心性、網絡中心性和國家關鍵職能的邏輯優勢來開展這項工作的。”

然而，CISA自己的能力是有限的。雖然該機構可能可以在沒有國會的情況下開始對基礎設施進行分類，但需要立法來解決日光浴委員會提案的另一個方面：為獲得標簽的公司強加聯邦“利益和責任”的綜合壓力，比如滿足要求的基線安全標準或獲得負責任的保護。

 SICI--具有系統性重要的關鍵基礎設施

在殖民管道(Colonial Pipeline)和JBS勒索軟件事件發生后，制定更多網絡安全法規的想法得到越來越多的關注。因為此前幾十年，政府基本上不干預私營部門擁有的關鍵基礎設施。不可不否認的事實就是，自愿性標準無法完成任務，一些國會議員也表示，他們對讓工業界單干的耐心正在減弱。

一些立法者和網絡空間日光浴委員會提出了一項提案，他們認為該提案在網絡空間對嚴格規則的新熱情和不規范的傳統之間找到了中間地帶：“具有系統性重要的關鍵基礎設施。”

這個想法也被稱為SICI，它涉及到標定被黑客攻擊的關鍵基礎設施目標，即一旦受到攻擊，最有可能造成經濟、公共健康或國家安全的破壞，然后向基礎設施的所有者提供政府優待，以換取滿足基本的網絡安全標準。

委員會為那些被貼上“具有系統性重要的關鍵基礎設施”標簽的實體提供了一系列“利益和責任”。這些負擔包括要求公司共享威脅信息和滿足某些尚未成文的安全標準。符合這一標準的公司如果受到破壞性攻擊，將獲得免于訴訟的保護，而那些被指定為“SICI”的公司將在此類事件中獲得優先聯邦援助。

 爭議不斷的SICI提案

來自紐約州的眾議員、眾議院國土安全委員會(House Homeland Security Committee)的共和黨領袖約翰?卡特科(John Katko)提出了一項此類法案，該法案排除了關鍵基礎設施所有者的負擔，支持啟動標簽，并優先為所有者和運營商提供CISA服務。

眾議院國土安全委員會(House Homeland Security Committee)的民主黨人對卡特科的SICI法案表示了一些支持，盡管卡特科對委員會領導層在最近的一次加成會議上沒有將其列入感到遺憾。

“我認為，約翰通過他的立法所做的事情，確實提煉出了我們必須、必須、必須關注的因素，以便建立一個強有力的協議，應對我們所知道的對國家關鍵基礎設施的持續保護，”紐約州民主黨眾議員伊薇特克拉克(Yvette Clarke)說。

在7月份這項提案提出的時候，就有不同的聲音。即使是一種妥協的建議，也不容易贏得業界的支持。新的監管規則將制定強制性網絡安全績效標準，這引起部分行業的擔憂。一些組織已經準備反對SICI的提議。國會的地盤之爭也構成了潛在的障礙。

“這將是一場激烈的戰斗，”麥克拉里網絡與關鍵基礎設施安全研究所(McCrary Institute for Cyber & Critical Infrastructure Security)主任、網絡空間日光委員會(Cyberspace Solarium Commission)成員弗蘭克·奇盧福(Frank Cilluffo)說。“這將是一個艱巨的任務，但這是正確的事情。”

 CISA推行SICI標定工作的預算挑戰

伊斯特利同意卡特科的說法，認為CISA需要更大的預算。該機構目前擁有20億美元，盡管一些決策者正在推動增加預算。卡特科說，CISA需要成為一個有50億美元預算的機構。

伊斯特利說:“也許它是一個價值50億美元的機構。”“因為我們是一個非常年輕的機構，而且我們正在轉型，所以我們要確保所有流程都到位，這樣我們才能吸引資金，并負責任地、有效地使用這些資金。”

特別是，CISA正在考慮花錢聘用關鍵人員，如其州網絡安全協調員團隊、私營部門網絡安全顧問以及脆弱性管理、威脅獵殺和事件響應方面的專家。伊斯特利說:“我們正在對隊伍結構進行評估，有點像‘部隊各司其職’。”

美國總統喬·拜登(Joe Biden)的社會支出框架的最新精簡版將給聯邦政府的主要網絡安全機構-CISA5億美元，以支持一些正在進行的跨政府網絡計劃。

當地時間10月28日拜登提出了一個《更好建設法案》的新框架草案，重點是增加國家社會安全網(social safety net)的支出和應對氣候變化。

在1.75萬億美元的法案提出了大量的聯邦資金和網絡安全計劃，包括至少5億美元的網絡安全基礎設施安全機構項目,1億美元對于提高聯邦政府的網絡安全系統，超過1億美元的培訓和員工發展，還有5000萬美元用于改善云安全。

參考資源：

1.https://www.cyberscoop.com/sici-easterly-katko-psies-csis-cisa/

2.https://www.cyberscoop.com/sici-cyber-ransomware-congress-critical-infrastructure/

3.https://www.fedscoop.com/bidens-1-75t-social-spending-plan-sets-aside-500m-to-support-cisa-initiatives/