美國眾議院最近密集通過了多項網絡安全法案,其中包括與關鍵基礎設施、工業控制系統(ICS)有關的法案,以及給州和地方政府的撥款法案。眾議院能源和商務委員會主席弗蘭克·帕隆(新澤西州民主黨人)在系列法案通過后發表的聯合聲明中說:“Colonial管道勒索軟件攻擊是一個痛苦的證據,表明壞人越來越專注于利用和攻擊我們國家最關鍵的基礎設施。”“我們掌握必要的工具和資源,以阻止和減輕這些網絡攻擊的影響,這絕對是至關重要的。謝天謝地,眾議院今天投票決定這么做。”
這些立法也得到了外部觀察人士的贊揚,前CISA局長克雷布斯(Christopher Krebs)在推特上表示支持多項與CISA有關的立法。克雷布斯在推特上寫道:“很高興看到這些兩黨支持@ cisagov的法案在眾議院通過,包括增加州/地方的網絡撥款,擴大網絡演習,并將CISA推向工業控制系統網絡安全工作的前沿。”
1、《網絡安全漏洞修補法案》
《網絡安全漏洞修補法案》(Cybersecurity Vulnerability Remediation Act),重點關注關鍵基礎設施。該法案旨在授權美國國土安全部(DHS)的網絡安全和基礎設施安全局(Cybersecurity and infrastructure Security Agency, CISA)協助關鍵基礎設施的所有者和運營商制定針對嚴重漏洞的緩解策略。該法案涵蓋了IT和OT系統中的漏洞,以及不再被支持的硬件或軟件中的安全漏洞。它還授權國土安全部為識別IT和ICS產品漏洞的補救方案引入競爭機制。
(法案的簡要信息-機器自動翻譯)
2、《CISA網絡演習法案》
眾議院剛剛還通過了CISA網絡演習法案( CISA Cyber Exercise Act)。該法案在CISA內部建立了一個項目,旨在促進對針對關鍵基礎設施的網絡攻擊的準備和恢復能力的定期測試和評估。演習將模擬網絡攻擊對政府或關鍵基礎設施網絡的重大影響,并將幫助組織提高準備和事件響應能力。
(法案的簡要信息-機器自動翻譯)
3、《2021年工業控制系統能力增強法案》
第3一項法案是美國國土安全部《2021年工業控制系統能力增強法案》(DHS Industrial Control Systems Capabilities Enhancement Act of 2021),該法案要求CISA提高識別和應對ICS威脅的能力,特別是用于關鍵基礎設施的系統。如果該法案成為法律,該機構將被要求保持跨部門事件響應能力,為利益相關者提供技術援助,并與ICS社區共享漏洞信息。
(法案的簡要信息-機器自動翻譯)
4、《州和地方網絡安全改善法案》
《州和地方網絡安全改善法案》尋求批準一項新的5億美元撥款計劃,其目標是為州、地方、部落和地方政府的網絡安全提供資金。該法案將允許州和地方政府組織申請資金,用于應對網絡安全風險和對其IT系統的威脅。CISA將負責該項目。
(法案的簡要信息-機器自動翻譯)
5、《國土安全關鍵領域法案》
剛剛提交參議院的另一項法案是《國土安全關鍵領域法案》(the Domains Critical to Homeland Security Act),該法案授權國土安全部識別對經濟安全至關重要的域的供應鏈風險。雖然它沒有特別提到網絡,但它可能適用于這個領域。該法案的摘要解釋說:“該法案將美國經濟安全的關鍵領域定義為對美國經濟安全至關重要的關鍵基礎設施和其他相關產業、技術和知識產權,或它們的任何組合。”
(法案的簡要信息-機器自動翻譯)
6、《網絡感應法案》
此前在上一屆國會眾議院通過的另一項法案也在7月20日獲得通過。由俄亥俄州共和黨眾議員鮑勃·拉塔(Bob Latta)和加利福尼亞州民主黨眾議員杰里·麥克納尼(Jerry McNerney)牽頭的兩黨《網絡感應法案》(Cyber Sense Act),將要求能源部長建立一個項目,對打算用于大容量電力系統的產品的網絡安全進行測試。大容量電力系統包括運行相互連接的電能傳輸網絡所必需的設施和控制系統。
(法案的簡要信息)
此外,眾議院一致通過了另外兩項旨在保護能源行業免受網絡攻擊的法案,這兩項法案此前都得到了眾議院能源和商務委員會(House energy and Commerce Committee)的批準。主要由眾議員鮑比·拉什(伊利諾伊州民主黨)發起的《能源緊急領導法案》將加強國土安全部在應對網絡威脅方面的領導能力,而同樣由麥克納尼和拉塔發起的《通過公私合作伙伴關系加強電網安全法案》將創建一個項目,以加強網絡和實際電網安全。
這兩項立法都是去年眾議院通過的。參議院能源和自然資源委員會將《網絡感應法案》和《加強電網安全法案》納入其上周通過的大規模能源一攬子計劃,預計將成為兩黨基礎設施框架的一部分。
所有這些法案都是作為2002年《國土安全法案》的修正案提出的。
