2021年國外9 項值得注意的政府網絡安全舉措

網絡安全已穩步上升到全球各國政府的議程。這導致了旨在解決威脅個人和組織的網絡安全問題的舉措。

Forrester 的安全和風險分析師 Steve Turner 告訴 CSO：“政府主導的網絡安全計劃對于解決網絡安全問題至關重要，例如破壞性攻擊、大規模數據泄露、糟糕的安全態勢以及對關鍵基礎設施的攻擊。” “這些舉措為組織和消費者如何保護自己提供了一致的指導，為沒有知識或金錢手段來保護自己的公司提供服務，可以利用的立法杠桿，對民族國家對手采取進攻性行動的手段，最重要的是，對重大網絡事件的調查以及在這些事件期間或之后的關鍵信息共享。”

以下是 2021 年世界各國政府推出的一些最著名的網絡安全舉措：

美國國防部發布網絡安全成熟度模型認證

1 月，美國國防部 (DoD) 發布了網絡安全成熟度模型認證(CMMC)，這是在整個國防工業基地 (DIB) 中實施網絡安全的統一標準，其中包括供應鏈中的 300,000 多家公司。CMMC 審查并結合了各種網絡安全標準和最佳實踐，映射了從基本到高級網絡衛生的多個成熟度級別的控制和流程。

“對于給定的 CMMC 級別，相關控制和流程在實施后將降低針對特定網絡威脅的風險，”負責采購和維持的國防部副部長辦公室網站上寫道。“CMMC 的工作建立在基于信任的現有法規 (DFARS 252.204-7012) 之上，通過添加與網絡安全要求相關的驗證組件。” CMMC 旨在為所有組織提供具有成本效益和負擔得起的價格，授權和認可的 CMMC 第三方進行評估并向適當級別的 DIB 公司頒發 CMMC 證書。

對于 Mandelbaum Salsburg PC 的 CIO 和 CREST 的美國主席 Tom Brennan 來說，CMMC 可能是美國 2021 年最重要的政府網絡安全計劃。“長期以來，國防部一直告訴 DIB 承包商，他們必須遵守 NIST 標準，但與此特定控制相關的認證、執法或審計為零，而且它失敗了，”他告訴 CSO。他說，CMMC 非常重要，因為它涉及法律評估，以從安全角度測試政府承包商是否按照他們所說的去做，如果他們不符合 CMMC 的要求，他們將失去合同。

“如果您要尋找新的 DoD 合同，這些聯系人將明確指出，公司必須符合 CMMC 1、2、3、4 或 5 級（取決于項目所需的成熟度）簽訂新合同。” Brennan 說，CMMC 也越來越受到網絡安全行業的關注，因為許多審計公司和服務提供商意識到這是一個搖錢樹。

西班牙政府向網絡安全行業投入 4.5 億歐元，開設黑客學院

今年 4 月，西班牙數字化和人工智能國務秘書Carme Artigas透露，西班牙政府將在三年內投資超過 4.5 億歐元，以促進該國的網絡安全部門。Artigas 還宣布為 14 歲及以上的西班牙居民開設在線黑客學院，以培訓和吸引人才。該培訓計劃于 5 月 3 日至 6 月 25 日以在線形式運行，數百名參與者參加網絡安全挑戰。

國家網絡安全研究所 (INCIBE) 將監督一項新的網絡安全支出戰略計劃，解決促進該行業商業生態系統和吸引人才、加強個人、中小企業和專業人士的網絡安全以及鞏固西班牙作為國際網絡安全中心。

美國政府宣布雄心勃勃的網絡安全行政命令

5 月，拜登政府宣布了一項大膽的網絡安全行政命令，以制定“改善國家網絡安全和保護聯邦政府網絡的新路線”。該文件是在對SolarWinds和Microsoft的重大供應鏈攻擊以及對 Colonial Pipeline 的勒索軟件攻擊之后發布的。

該行政命令旨在最大限度地減少此類事件的頻率和影響，提出了一系列加強聯邦機構內部網絡安全的建議，包括：

• 消除政府和私營部門之間威脅信息共享的障礙
• 在聯邦政府中現代化和實施更嚴格的網絡安全標準
• 提高軟件供應鏈安全性
• 建立網絡安全安全審查委員會
• 提高圍繞網絡安全事件的檢測、調查和補救能力。

“網絡安全行政命令迅速要求各機構通過引入零信任架構、增強技術采購、開發軟件物料清單 (SBOM) 要求、遷移到云等等來實現安全態勢現代化，”特納說. “這將對其他國家和組織產生廣泛的下游影響，因為它將迫使許多與政府有業務往來的供應商和公司采取特定的安全措施，并擁有其他組織能夠掌握的特定數據。點進去。”

澳大利亞政府推出關鍵基礎設施提升計劃

5 月，澳大利亞政府推出了關鍵基礎設施提升計劃(CI-UP)，以識別和解決關鍵基礎設施中的漏洞，通過評估現有安全計劃和實施建議的風險緩解策略，幫助提供商提高網絡安全成熟度。模塊化網絡安全計劃向作為ACSC 合作伙伴的關鍵基礎設施實體開放，旨在：

• 結合網絡安全能力和成熟度模型 (C2M2) 和 Essential 8 成熟度模型，評估具有國家意義的關鍵基礎設施和系統的網絡安全成熟度
• 提供優先的脆弱性和風險緩解策略
• 協助合作伙伴實施建議的風險緩解策略

“隨著對電網和管道等關鍵基礎設施的攻擊越來越多，這是一項非常重要的服務，可以幫助快速提高這些實體的安全狀況，”特納說。

美國立法者提出美國網絡安全素養法案

6 月，兩黨眾議院議員提出了一項關于美國網絡安全素養法案的提案，這是一項旨在提高美國互聯網用戶的網絡安全意識和數據安全知識的新立法。該法案目前正在接受眾議院能源和商務委員會的審查，該法案規定美國在促進網絡安全素養方面具有國家安全和經濟利益，并規定通信和信息部助理部長應制定和開展最佳網絡安全素養運動。降低網絡安全風險的實踐。

Cyber??GRX 的 CISO Dave Stapleton 在評論該提案時告訴 CSO，網絡攻擊的威脅和對有意義的對策的需求被證明是美國政府兩黨一致同意的少數問題之一。“美國網絡安全素養法案對教育美國公眾的關注是正確的。很多時候，我們個人面臨的威脅與公司面臨的威脅是相同的或衍生的。我們在員工的個人設備上收到的商業電子郵件入侵 (BEC) 攻擊數量證明了這一點。我們的職業生活和個人生活之間的界限越來越模糊，這使得對個人的威脅很可能對他們的雇主構成威脅。”

Stapleton 說，基于身份的攻擊是美國企業和私人最常見的攻擊之一，并且有充分的理由——破壞合法身份是繞過個人及其公司實施的安全保護措施的有效方法。“因此，令人鼓舞的是，美國網絡安全素養法案如果獲得通過，將重點關注網絡釣魚的威脅以及每個人都需要盡可能啟用和使用多因素身份驗證 (MFA)。”

法國政府發布網絡攻擊警報系統

7 月，法國政府為中小企業啟動了新的預警系統，以在發生網絡攻擊時為其提供支持，告知企業應對事件應采取的行動。該系統由負責數字轉型和電子通信的國務卿 Cédric O 以及其他高級官員介紹。

根據政府新聞稿，當檢測到對中小型公司特別重要的漏洞或攻擊活動時，國家受害者援助系統和國家安全局會向商業領袖發布簡短易懂的通知。信息系統 (ANSI)。然后將其傳送給包括跨專業組織、工商會 (CCI) 和貿易和手工藝商會 (CMA) 的領事網絡在內的機構，然后盡可能廣泛地轉發給商界領袖。法國政府認為，信息的速度和立即采取行動的能力將使公司能夠更好地保護自己，從而限制網絡攻擊對法國經濟結構的影響。

英國國防部完成首個漏洞賞金計劃

8 月，英國國防部 (MoD) 宣布完成其首個漏洞賞金計劃。它與 HackerOne 合作，邀請道德黑客參加為期 30 天的挑戰，以調查和識別其數字資產中需要修復的漏洞，允許他們直接訪問其內部系統。該計劃旨在幫助國防部更好地保護和保護其網絡系統和 750,000 臺設備，遵循英國政府的新網絡戰略（于 3 月發布），以增強該國在日益數字化的世界中的網絡實力。

在項目結束時，國防部首席信息安全官克里斯汀·麥克斯韋 (Christine Maxwell) 表示，國防部已采用安全設計戰略，透明度是確定開發過程中需要改進的領域不可或缺的一部分。“對我們來說，繼續突破數字和網絡發展的界限以吸引具有技能、精力和承諾的人員，這一點很重要，”她補充道。“與道德黑客社區合作使我們能夠建立我們的技術人才平臺，并帶來更多樣化的觀點來保護和捍衛我們的資產。了解我們的漏洞所在并與更廣泛的道德黑客社區合作以識別和修復它們，是降低網絡風險和提高彈性的重要一步。”

同月，國防部還呼吁初創公司設計新一代安全硬件和軟件，以幫助軍方減少網絡攻擊面，為一份為期 9 個月的合同提供高達 30 萬英鎊的資金。

意大利政府成立國家網絡安全機構

8 月，意大利議會批準了政府建立一個新的網絡安全機構以打擊針對國家的網絡攻擊的計劃，這是為該國創建安全、統一的云基礎設施的更廣泛戰略的一部分。6 月首次宣布，Agenzia per la Cyber??sicurezza Nazionale(ACN) 最初將由 300 名員工組成，目標是到 2027 年達到 1,000 名員工。它將由信息安全部 (DIS) 副局長羅伯托·巴爾迪尼 (Roberto Baldini) 領導。其各種目標包括在網絡安全領域行使國家權力機構的職能，發展國家預防、監測、檢測和緩解能力以應對網絡安全事件和網絡攻擊，并為提高信息和通信技術系統的安全性做出貢獻。

黑莓歐洲、中東和非洲地區副總裁 Adam Bangle 表示，意大利政府新的國家網絡安全雄心的成功將取決于它能否實現關鍵目標。“首先是安全標準化。建立安全標準和安全軟件開發原則，在整個系統中實行零信任，并確保實施和執行每個安全協議以避免邊界防御中的任何盲點，應該成為任何國家網絡戰略的組成部分。其次，也是最重要的一點，他們必須對網絡安全采取主動、基于預防的安全態勢。”

英國政府啟動 Cyber?? Runway 業務增長計劃

8 月，英國政府公布了旨在促進英國網絡安全部門增長的Cyber?? Runway 項目。在撰寫本文時的興趣表達階段，Cyber?? Runway 將看到英國各地的企業家和企業獲得商業大師班、指導、產品開發支持、社交活動以及支持國際貿易和安全投資，以便他們能夠將他們的將想法轉化為商業成功。

數字基礎設施部長馬特沃曼表示，該項目將解決增長障礙，增加投資，并為公司提供重要支持，將其業務提升到一個新的水平。“該計劃還將支持來自不同背景的創始人和創新者——針對來自英國網絡領域代表性不足的群體的申請人，例如女性和來自黑人、亞洲和少數族裔背景的人。”

Cyber?? Runway 旨在在六個月內支持 160 家公司，由數字、文化、媒體和體育部 (DCMS) 資助，并得到 CyLon、德勤和安全信息技術中心 (CSIT) 的支持。CyLon 首席執行官尼克莫里斯補充說：“英國的網絡安全生態系統正處于發展的關鍵和激動人心的時刻，大流行帶來了新的挑戰和新的機遇。” “Cyber?? Runway 將支持英國的創新者開發關鍵的安全技術，以保護我們數字經濟的未來。”