美刚通过的新国防法案涉网络安全部分浅读
美国参议院刚以89票对10票通过通过了《国防授权法案》(NDAA),批准了7680亿美元的年度国防开支法案,其中包含网络安全条款。该法案现已提交到总统乔·拜登的办公桌。
庞大的国防开支路线图支持政府对美国网络司令部总预算的6.05亿美元请求,并授予该组织负责人执行预算权力。它“使国防部首席信息官与国家安全局网络部门之间的关系“现代化”,并创建了一个办公室来集中五角大楼的网络威胁信息产品。
在与该法案文本一起发布的一份解释性文件中,美国众议院军事委员会表示,该法案中的网络条款将启动“自SolarWinds事件以来,通过立法对CISA进行最广泛的授权和扩展”。
除了显着增加网络安全投资外,该法案还赋予美国网络司令部指挥官更大的预算权力,“现代化”国防部首席信息官与国家安全局负责网络安全的部门之间的关系,同时还建立了一个项目办公室在联合部队总部-DODIN内集中管理整个国防部的网络威胁信息产品。
该法案还规定了网络武器和网络能力的第一个分类,并要求国防部长建立一个软件开发和采购干部,通过提供专家建议、援助和资源来协助开发和采购软件。
国会创建的一项赠款计划将与以色列协调资助网络安全研究。
一个新的国家级网络锻炼计划“全国网络演习计划”也在该法案中被概述。该计划将测试该国的网络准备情况,它将迫使CISA和其他政府机构测试国家网络事件响应计划,并“在可行的范围内,模拟网络事件导致政府或关键基础设施网络部分或完全丧失能力”。修正案还要求CISA至少每两年更新一次事件响应计划。
该法案还规定,国防部现在需要提交一份关于其网络安全成熟度模型认证计划如何影响小型企业的报告。专家们还吹捧增加了学徒计划以扩大可用的网络人才以及退伍军人培训计划。
CISA为一项名为“ CyberSentry ”的计划提供了更多资金,该计划提供“对拥有或运营支持国家关键功能的工业控制系统的关键基础设施的网络安全风险的持续监控”。
SecurityGate的首席信息安全官Bill Lawrence 表示,CyberSentry是一个颇有争议的条款,因为它让CISA“可以访问存储在CyberSentry堆栈中的所有网络流量,包括通信内容,以进一步分析警报的来源和/或评估网络状态。”
参考文档:
https://www.dhs.gov/sites/default/files/publications/privacy-pia-cisa-cybersentry-january2021.pdf
“CISA帮助保护美国关键基础设施是有正当理由的,正如CI所有者和运营商不希望在其网络上使用政府传感器的正当理由一样,安全提供商也有正当理由认为政府正在为其提供免费网络服务(当然是用纳税人的钱)。”劳伦斯说。
“国土安全部在CyberSentry的文章中确实包含了大量的隐私考虑因素。阅读该计划的战术和战略目标并查看是否包括与所有CI资产所有者和运营商的快速信息共享会很有帮助,并且帮助确定这种果汁是否值得向商业供应商挤压。我有我的担忧。”
但引起最大兴趣的是该法案所缺乏的内容,即网络事件报告条款,该条款经过激烈辩论并最终在最后一刻被取消。
几个月来,民主党和共和党参议员就NDAA中网络事件报告条款的语言争论不休。11月,两名民主党人——加里·彼得斯和马克·华纳——与两名共和党人——罗伯·波特曼和苏珊·柯林斯合作 ,对NDAA提出了一项新修正案,该修正案将迫使关键基础设施所有者和运营商以及民间联邦机构向CISA报告所有网络攻击和勒索软件付款。
但到了12月,华盛顿邮报报道佛罗里达州参议员里克斯科特对勒索软件报告条款提出异议,称其过于宽泛,要求参议员将语言限制在16个关键行业的企业。消息人士透露,关于勒索软件语言的辩论持续时间太长,众议院和参议院的谈判人员最终将整个条款排除在外。
劳伦斯指出,一些公司在发现漏洞或勒索软件攻击后72小时内报告入侵行为或在支付后24小时内支付赎金方面存在问题。他解释说,较小的组织没有可用的24/7安全运营中心,这限制了他们响应此类事件的能力,更不用说在事件响应期间告诉美国政府发生了什么。
众议员Bennie Thompson和众议员Yvette Clarke指出,网络安全事件响应立法已包含在9月通过的众议院NDAA 中。两人分别担任国土安全委员会主席和网络安全、基础设施保护和创新小组委员会主席,在一份声明中解释说,为将网络事件报告纳入法案做出了大量努力,但“最终在 NDAA 中获得它的时间已经不多了。”
汤普森和克拉克说:“参议院共和党领导层出现功能障碍和分歧,直到今天中午才得到解决-远远超过了NDAA的最后期限。这个结果令人失望并破坏了国家安全。”
“我们曾希望通过向总统办公桌发送网络事件报告立法来纪念SolarWinds供应链攻击被发现一周年。相反,参议院共和党领导人拖延了很多事情,以至于关闭在NDAA中网络事件报告的窗口。我们对我们进入NDAA的势头没有取得成功深感失望,但我们完全致力于跨越过道并与参议院合作,寻找另一条前进的道路。”
