美“关基”保护新举措--CISA启动“具有系统性重要的关键基础设施”标定工作 - 网安

美国网络安全和基础设施安全局局长伊斯特利(Jen Easterly)当地时间10月29日表示，该机构已经开始着手规划美国的关键基础设施保护，即启动“具有系统性重要的关键基础设施”标定计划，这类基础设施可谓“关基”中的“关基”，如果这些设施遭到黑客攻击，可能会对国家安全和经济利益造成严重后果。此项提议是在5月份Colonial油气管道公司遭勒索攻击后由网络空间日光浴委员会提出的，试图改善一直以来对关键基础设施监管不力的局面。

CISA力推新的“关基”监管模式

给这样的基础设施贴上标签是网络空间日光浴委员会提案的主题，该委员会是一个国会委员会，建议确定“具有系统性重要的关键基础设施”，简称SICI(systemically important critical infrastructure)。议员们近几个月来已经提出了SICI法案，但是伊斯特利说，不管有没有法案，国土安全部都在继续推进。

她在战略与国际研究中心(Center for Strategic and International Studies)举办的一场活动上表示:“不管这是否会成为法律，我当然希望它会成为法律，我们已经在思考这个模式。”“我们现在所处的状态是，关键基础设施过于脆弱。坦率地说，这是我每天最担心的事情。”

CISA将这项工作称为“主要的系统性重要实体”，而不是SICI。标准将基于该机构用于检查关键基础设施的现有方法，以及风险是如何交织在一起的。

伊斯特利说:“我们正在国家风险管理中心(National Risk Management Center)构建各种不同方法的原型，试图开始识别那些实际上具有系统重要性的实体，我们是基于经济中心性、网络中心性和国家关键职能的逻辑优势来开展这项工作的。”

然而，CISA自己的能力是有限的。虽然该机构可能可以在没有国会的情况下开始对基础设施进行分类，但需要立法来解决日光浴委员会提案的另一个方面：为获得标签的公司强加联邦“利益和责任”的综合压力，比如满足要求的基线安全标准或获得负责任的保护。

SICI--具有系统性重要的关键基础设施

在殖民管道(Colonial Pipeline)和JBS勒索软件事件发生后，制定更多网络安全法规的想法得到越来越多的关注。因为此前几十年，政府基本上不干预私营部门拥有的关键基础设施。不可不否认的事实就是，自愿性标准无法完成任务，一些国会议员也表示，他们对让工业界单干的耐心正在减弱。

一些立法者和网络空间日光浴委员会提出了一项提案，他们认为该提案在网络空间对严格规则的新热情和不规范的传统之间找到了中间地带：“具有系统性重要的关键基础设施。”

这个想法也被称为SICI，它涉及到标定被黑客攻击的关键基础设施目标，即一旦受到攻击，最有可能造成经济、公共健康或国家安全的破坏，然后向基础设施的所有者提供政府优待，以换取满足基本的网络安全标准。

委员会为那些被贴上“具有系统性重要的关键基础设施”标签的实体提供了一系列“利益和责任”。这些负担包括要求公司共享威胁信息和满足某些尚未成文的安全标准。符合这一标准的公司如果受到破坏性攻击，将获得免于诉讼的保护，而那些被指定为“SICI”的公司将在此类事件中获得优先联邦援助。

争议不断的SICI提案

来自纽约州的众议员、众议院国土安全委员会(House Homeland Security Committee)的共和党领袖约翰•卡特科(John Katko)提出了一项此类法案，该法案排除了关键基础设施所有者的负担，支持启动标签，并优先为所有者和运营商提供CISA服务。

众议院国土安全委员会(House Homeland Security Committee)的民主党人对卡特科的SICI法案表示了一些支持，尽管卡特科对委员会领导层在最近的一次加成会议上没有将其列入感到遗憾。

“我认为，约翰通过他的立法所做的事情，确实提炼出了我们必须、必须、必须关注的因素，以便建立一个强有力的协议，应对我们所知道的对国家关键基础设施的持续保护，”纽约州民主党众议员伊薇特克拉克(Yvette Clarke)说。

在7月份这项提案提出的时候，就有不同的声音。即使是一种妥协的建议，也不容易赢得业界的支持。新的监管规则将制定强制性网络安全绩效标准，这引起部分行业的担忧。一些组织已经准备反对SICI的提议。国会的地盘之争也构成了潜在的障碍。

“这将是一场激烈的战斗，”麦克拉里网络与关键基础设施安全研究所(McCrary Institute for Cyber & Critical Infrastructure Security)主任、网络空间日光委员会(Cyberspace Solarium Commission)成员弗兰克·奇卢福(Frank Cilluffo)说。“这将是一个艰巨的任务，但这是正确的事情。”

CISA推行SICI标定工作的预算挑战

伊斯特利同意卡特科的说法，认为CISA需要更大的预算。该机构目前拥有20亿美元，尽管一些决策者正在推动增加预算。卡特科说，CISA需要成为一个有50亿美元预算的机构。

伊斯特利说:“也许它是一个价值50亿美元的机构。”“因为我们是一个非常年轻的机构，而且我们正在转型，所以我们要确保所有流程都到位，这样我们才能吸引资金，并负责任地、有效地使用这些资金。”

特别是，CISA正在考虑花钱聘用关键人员，如其州网络安全协调员团队、私营部门网络安全顾问以及脆弱性管理、威胁猎杀和事件响应方面的专家。伊斯特利说:“我们正在对队伍结构进行评估，有点像‘部队各司其职’。”

美国总统乔·拜登(Joe Biden)的社会支出框架的最新精简版将给联邦政府的主要网络安全机构-CISA5亿美元，以支持一些正在进行的跨政府网络计划。

当地时间10月28日拜登提出了一个《更好建设法案》的新框架草案，重点是增加国家社会安全网(social safety net)的支出和应对气候变化。

在1.75万亿美元的法案提出了大量的联邦资金和网络安全计划，包括至少5亿美元的网络安全基础设施安全机构项目,1亿美元对于提高联邦政府的网络安全系统，超过1亿美元的培训和员工发展，还有5000万美元用于改善云安全。

参考资源：

1.https://www.cyberscoop.com/sici-easterly-katko-psies-csis-cisa/

2.https://www.cyberscoop.com/sici-cyber-ransomware-congress-critical-infrastructure/

3.https://www.fedscoop.com/bidens-1-75t-social-spending-plan-sets-aside-500m-to-support-cisa-initiatives/