美國總統拜登(Joe Biden)當地時間7月28日簽署了一份國家安全備忘錄,要求聯邦機構制定關鍵基礎設施的網絡安全性能目標。備忘錄指出,保護美國的關鍵基礎設施是政府在聯邦、州、地方、部落和領土層面的責任,也是基礎設施所有者和運營商的責任。對控制和運營國家所依賴的關鍵基礎設施的系統構成的網絡安全威脅,是美國面臨的最重要和日益嚴重的問題之一。控制這一基礎設施的系統的退化、破壞或故障可能會對美國的國家和經濟安全造成重大損害。備忘錄共計五個部分,其中第2 和第3部分重點闡述了加強工業控制系統網絡安全的計劃和推進落實計劃。
這一指令是拜登政府的最新舉措,旨在讓關鍵行業參與改善可能影響國家安全和經濟的網絡安全領域。在這份行政備忘錄之前,美國運輸安全管理局(Transportation security Administration)上周發布了一項安全指令,要求運輸安全管理局指定的關鍵管道所有者和運營商實施緩解措施,以防范勒索軟件和其他威脅。
“考慮到我們今天面臨的不斷演變的威脅,我們目前的防御態勢是遠遠不夠的,”一名高級政府官員在7月27日的電話會議上告訴記者。“我們真的拖延了很長一段時間。政府致力于利用我們擁有的每一項權力,盡管這些權力有限,我們也對自愿和強制性的新方法持開放態度。”
美國國土安全部(Department of Homeland Security)的網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)以及商務部(Commerce Department)的國家標準與技術協會(National Institute of Standards and Technology)將牽頭實施這一舉措。這位官員沒有詳細說明CISA和NIST在性能目標中可能包括哪些基準,但表示,該計劃將進一步推進政府實現美國網絡防御現代化的目標。
備忘錄概述道:“這些績效目標應該成為所有者和運營商在網絡安全實踐和防御態勢方面的明確指導,美國人民可以信任這些基本服務,也應該期待這些服務。”
備忘錄規定,9月22日是國土安全部發布關鍵基礎設施部門初步目標的最后期限。最終的跨部門和單個行業目標將在備忘錄發布后的一年內發布。
該備忘錄還正式確立了拜登總統的工業控制系統網絡安全倡議,該倡議于今年4月在電力部門啟動。該官員表示,作為試點的結果,代表近9000萬客戶的150多家電力公司正在部署或同意部署控制系統網絡安全技術。天然氣和管道行業是該計劃的下一個重點。
“我們想說的是,聯邦政府不能單獨做這件事,”這位官員告訴記者。“這些規定可能是自愿的,但我們希望并期望所有負責任的關鍵基礎設施所有者和運營商都能實施這些規定。”
近幾個月來,一系列備受矚目的網絡攻擊事件讓美國關鍵行業的安全漏洞暴露在聚光燈下。其中,就在陣亡將士紀念日(Memorial Day,5月的最后一個星期一)周末前夕,一場勒索軟件攻擊迫使主要燃料供應商Colonial Pipeline停產,導致美國出現恐慌引發的天然氣短缺。
政府官員說,目前,政府是在現有權力范圍內開展工作的,涉及關鍵行業的企業時,現有權力范圍非常小。美國絕大多數的關鍵基礎設施都由私營部門擁有。關鍵行業的安全標準基本上是零敲碎打的,由部門或州和地方的指導方針制定。
這位高級官員承認,要從自愿標準轉變為強制性要求,可能需要與國會合作。這位官員說:“缺乏立法,沒有一個全面的方法來要求部署安全技術和實踐,以解決我們面臨的真正威脅環境。”
國會議員已經提出了一系列旨在解決關鍵基礎設施安全漏洞的法案,其中包括弗吉尼亞州民主黨參議員馬克·華納(Mark Warner)提出的立法。這將要求關鍵行業向聯邦政府報告違規行為。
該官員表示,政府還在探索績效激勵措施,如撥款、稅收抵免和網絡保險,以加速自愿采納網絡安全措施。
關于改善關鍵基礎設施控制系統網絡安全的國家安全備忘錄
保護我們國家的關鍵基礎設施是政府在聯邦、州、地方、部落和領土層面的責任,也是基礎設施所有者和運營商的責任。對控制和運營我們所依賴的關鍵基礎設施的系統構成的網絡安全威脅,是我們國家面臨的最重要和日益嚴重的問題之一。控制這一基礎設施的系統的退化、破壞或故障可能會對美國的國家和經濟安全造成重大損害。
第1節,政策。本屆政府的政策是保護國家的重要基礎設施,與特定的網絡安全和彈性系統支持國家關鍵功能(NCF),NCF定義為政府和私營部門的功能對美國至關重要,他們中斷、腐敗或功能障礙將對國家安全、經濟安全、公共健康或安全,或兩者的任何組合產生削弱作用。
第2節,工業控制系統網絡安全倡議。因此,我提出了工業控制系統網絡安全倡議(Initiative),這是聯邦政府和關鍵基礎設施社區之間自愿的合作努力,以顯著改善這些關鍵系統的網絡安全。該倡議的主要目標是通過鼓勵和促進技術和系統的部署來保護美國的關鍵基礎設施,以提供威脅的可視性、跡象、探測和警告,這有助于提高基本控制系統和操作技術網絡的網絡安全響應能力。該計劃的目標是在優先級關鍵基礎設施中極大地擴展這些技術的部署。
第3節,推進工業控制系統網絡安全倡議。該倡議為政府和工業界合作,在各自的控制范圍內立即采取行動,為解決這些嚴重威脅創造一條道路。該倡議以關鍵基礎設施領域正在進行的網絡安全努力為基礎,擴大并加快其步伐,是應對這些威脅的重要一步。我們無法應對我們看不到的威脅;因此,部署能夠監控控制系統以檢測惡意活動并促進對網絡威脅的響應行動的系統和技術,對于確保這些關鍵系統的安全運行至關重要。聯邦政府將與工業界合作,在全國范圍內共享優先控制系統關鍵基礎設施的威脅信息。
( a ) 該倡議首先是電力部門的試點工作,現在是天然氣管道的類似工作。今年晚些時候,水和廢水部門系統和化學部門將繼續努力。
( b ) 根據公法116-283第9002(a)(7)節定義的部門風險管理機構,以及其他執行部門和機構,在適當的情況下,在符合適用法律的情況下,應與關鍵基礎設施利益相關者、所有者和運營商合作,實施本備忘錄中概述的原則和政策。
第4節,關鍵基礎設施網絡安全性能目標。關鍵基礎設施領域的網絡安全需求各不相同,網絡安全實踐也是如此。然而,我們需要在所有關鍵基礎設施領域實現一致的網絡安全基線目標,同時還需要對依賴控制系統的選定關鍵基礎設施進行安全控制。
( a ) 根據2013年2月12日第13636號行政命令(改善關鍵基礎設施網絡安全)第7(d)條,國土安全部部長與商務部長(通過國家標準與技術研究所所長)及其他相關機構協調,應制定并發布關鍵基礎設施的網絡安全績效目標,以促進對關鍵基礎設施所有者和運營商應遵循的基本安全實踐的共識,以保護國家和經濟安全,以及公共健康和安全。
( b ) 此項努力應首先由國土安全部部長在不遲于2021年9月22日發布跨關鍵基礎設施部門控制系統的初步目標,然后在本備忘錄簽署之日起一年內發布跨部門控制系統的最終目標。此外,在與相關機構磋商后,國土安全部部長應在本備忘錄簽署之日起一年內發布特定行業的關鍵基礎設施網絡安全性能目標。這些績效目標應該成為業主和運營商關于美國人民可以信任的網絡安全實踐和防御態勢的明確指導,并應該期待這些基本服務。這一努力可能還包括審查額外的法律授權是否有利于加強關鍵基礎設施的網絡安全,這對美國人民和我們國家的安全至關重要。
第5節,通用規定。( a ) 本備忘錄的任何內容不得解釋為損害或以其他方式影響:
( i ) 法律授予行政部門或機構或其首長的權力;或
( ii ) 管理和預算辦公室主任關于預算、行政或立法提案的職能。
( b ) 本備忘錄應按照適用法律執行,并在可能需要資金援助以執行控制系統網絡安全建議的情況下,在撥款的情況下執行。
( c ) 本備忘錄不旨在,也不創造任何一方針對美國、其部門、機構或實體、其官員、雇員或代理或任何其他人士可在法律或衡平法上強制執行的任何實質性或程序性權利或利益。
