网络安全已稳步上升到全球各国政府的议程。这导致了旨在解决威胁个人和组织的网络安全问题的举措。

Forrester 的安全和风险分析师 Steve Turner 告诉 CSO:“政府主导的网络安全计划对于解决网络安全问题至关重要,例如破坏性攻击、大规模数据泄露、糟糕的安全态势以及对关键基础设施的攻击。” “这些举措为组织和消费者如何保护自己提供了一致的指导,为没有知识或金钱手段来保护自己的公司提供服务,可以利用的立法杠杆,对民族国家对手采取进攻性行动的手段,最重要的是,对重大网络事件的调查以及在这些事件期间或之后的关键信息共享。”

以下是 2021 年世界各国政府推出的一些最著名的网络安全举措:

美国国防部发布网络安全成熟度模型认证

1 月,美国国防部 (DoD) 发布了网络安全成熟度模型认证(CMMC),这是在整个国防工业基地 (DIB) 中实施网络安全的统一标准,其中包括供应链中的 300,000 多家公司。CMMC 审查并结合了各种网络安全标准和最佳实践,映射了从基本到高级网络卫生的多个成熟度级别的控制和流程。

“对于给定的 CMMC 级别,相关控制和流程在实施后将降低针对特定网络威胁的风险,”负责采购和维持的国防部副部长办公室网站上写道。“CMMC 的工作建立在基于信任的现有法规 (DFARS 252.204-7012) 之上,通过添加与网络安全要求相关的验证组件。” CMMC 旨在为所有组织提供具有成本效益和负担得起的价格,授权和认可的 CMMC 第三方进行评估并向适当级别的 DIB 公司颁发 CMMC 证书。

对于 Mandelbaum Salsburg PC 的 CIO 和 CREST 的美国主席 Tom Brennan 来说,CMMC 可能是美国 2021 年最重要的政府网络安全计划。“长期以来,国防部一直告诉 DIB 承包商,他们必须遵守 NIST 标准,但与此特定控制相关的认证、执法或审计为零,而且它失败了,”他告诉 CSO。他说,CMMC 非常重要,因为它涉及法律评估,以从安全角度测试政府承包商是否按照他们所说的去做,如果他们不符合 CMMC 的要求,他们将失去合同。

“如果您要寻找新的 DoD 合同,这些联系人将明确指出,公司必须符合 CMMC 1、2、3、4 或 5 级(取决于项目所需的成熟度)签订新合同。” Brennan 说,CMMC 也越来越受到网络安全行业的关注,因为许多审计公司和服务提供商意识到这是一个摇钱树。

西班牙政府向网络安全行业投入 4.5 亿欧元,开设黑客学院

今年 4 月,西班牙数字化和人工智能国务秘书Carme Artigas透露,西班牙政府将在三年内投资超过 4.5 亿欧元,以促进该国的网络安全部门。Artigas 还宣布为 14 岁及以上的西班牙居民开设在线黑客学院,以培训和吸引人才。该培训计划于 5 月 3 日至 6 月 25 日以在线形式运行,数百名参与者参加网络安全挑战。

国家网络安全研究所 (INCIBE) 将监督一项新的网络安全支出战略计划,解决促进该行业商业生态系统和吸引人才、加强个人、中小企业和专业人士的网络安全以及巩固西班牙作为国际网络安全中心。

美国政府宣布雄心勃勃的网络安全行政命令

5 月,拜登政府宣布了一项大胆的网络安全行政命令,以制定“改善国家网络安全和保护联邦政府网络的新路线”。该文件是在对SolarWinds和Microsoft的重大供应链攻击以及对 Colonial Pipeline 的勒索软件攻击之后发布的。

该行政命令旨在最大限度地减少此类事件的频率和影响,提出了一系列加强联邦机构内部网络安全的建议,包括:

  • 消除政府和私营部门之间威胁信息共享的障碍
  • 在联邦政府中现代化和实施更严格的网络安全标准
  • 提高软件供应链安全性
  • 建立网络安全安全审查委员会
  • 提高围绕网络安全事件的检测、调查和补救能力。

“网络安全行政命令迅速要求各机构通过引入零信任架构、增强技术采购、开发软件物料清单 (SBOM) 要求、迁移到云等等来实现安全态势现代化,”特纳说. “这将对其他国家和组织产生广泛的下游影响,因为它将迫使许多与政府有业务往来的供应商和公司采取特定的安全措施,并拥有其他组织能够掌握的特定数据。点进去。”

澳大利亚政府推出关键基础设施提升计划

5 月,澳大利亚政府推出了关键基础设施提升计划(CI-UP),以识别和解决关键基础设施中的漏洞,通过评估现有安全计划和实施建议的风险缓解策略,帮助提供商提高网络安全成熟度。模块化网络安全计划向作为ACSC 合作伙伴的关键基础设施实体开放,旨在:

  • 结合网络安全能力和成熟度模型 (C2M2) 和 Essential 8 成熟度模型,评估具有国家意义的关键基础设施和系统的网络安全成熟度
  • 提供优先的脆弱性和风险缓解策略
  • 协助合作伙伴实施建议的风险缓解策略

“随着对电网和管道等关键基础设施的攻击越来越多,这是一项非常重要的服务,可以帮助快速提高这些实体的安全状况,”特纳说。

美国立法者提出美国网络安全素养法案

6 月,两党众议院议员提出了一项关于美国网络安全素养法案的提案,这是一项旨在提高美国互联网用户的网络安全意识和数据安全知识的新立法。该法案目前正在接受众议院能源和商务委员会的审查,该法案规定美国在促进网络安全素养方面具有国家安全和经济利益,并规定通信和信息部助理部长应制定和开展最佳网络安全素养运动。降低网络安全风险的实践。

Cyber​​GRX 的 CISO Dave Stapleton 在评论该提案时告诉 CSO,网络攻击的威胁和对有意义的对策的需求被证明是美国政府两党一致同意的少数问题之一。“美国网络安全素养法案对教育美国公众的关注是正确的。很多时候,我们个人面临的威胁与公司面临的威胁是相同的或衍生的。我们在员工的个人设备上收到的商业电子邮件入侵 (BEC) 攻击数量证明了这一点。我们的职业生活和个人生活之间的界限越来越模糊,这使得对个人的威胁很可能对他们的雇主构成威胁。”

Stapleton 说,基于身份的攻击是美国企业和私人最常见的攻击之一,并且有充分的理由——破坏合法身份是绕过个人及其公司实施的安全保护措施的有效方法。“因此,令人鼓舞的是,美国网络安全素养法案如果获得通过,将重点关注网络钓鱼的威胁以及每个人都需要尽可能启用和使用多因素身份验证 (MFA)。”

法国政府发布网络攻击警报系统

7 月,法国政府为中小企业启动了新的预警系统,以在发生网络攻击时为其提供支持,告知企业应对事件应采取的行动。该系统由负责数字转型和电子通信的国务卿 Cédric O 以及其他高级官员介绍。

根据政府新闻稿,当检测到对中小型公司特别重要的漏洞或攻击活动时,国家受害者援助系统和国家安全局会向商业领袖发布简短易懂的通知。信息系统 (ANSI)。然后将其传送给包括跨专业组织、工商会 (CCI) 和贸易和手工艺商会 (CMA) 的领事网络在内的机构,然后尽可能广泛地转发给商界领袖。法国政府认为,信息的速度和立即采取行动的能力将使公司能够更好地保护自己,从而限制网络攻击对法国经济结构的影响。

英国国防部完成首个漏洞赏金计划

8 月,英国国防部 (MoD) 宣布完成其首个漏洞赏金计划。它与 HackerOne 合作,邀请道德黑客参加为期 30 天的挑战,以调查和识别其数字资产中需要修复的漏洞,允许他们直接访问其内部系统。该计划旨在帮助国防部更好地保护和保护其网络系统和 750,000 台设备,遵循英国政府的新网络战略(于 3 月发布),以增强该国在日益数字化的世界中的网络实力。

在项目结束时,国防部首席信息安全官克里斯汀·麦克斯韦 (Christine Maxwell) 表示,国防部已采用安全设计战略,透明度是确定开发过程中需要改进的领域不可或缺的一部分。“对我们来说,继续突破数字和网络发展的界限以吸引具有技能、精力和承诺的人员,这一点很重要,”她补充道。“与道德黑客社区合作使我们能够建立我们的技术人才平台,并带来更多样化的观点来保护和捍卫我们的资产。了解我们的漏洞所在并与更广泛的道德黑客社区合作以识别和修复它们,是降低网络风险和提高弹性的重要一步。”

同月,国防部还呼吁初创公司设计新一代安全硬件和软件,以帮助军方减少网络攻击面,为一份为期 9 个月的合同提供高达 30 万英镑的资金。

意大利政府成立国家网络安全机构

8 月,意大利议会批准了政府建立一个新的网络安全机构以打击针对国家的网络攻击的计划,这是为该国创建安全、统一的云基础设施的更广泛战略的一部分。6 月首次宣布,Agenzia per la Cyber​​sicurezza Nazionale(ACN) 最初将由 300 名员工组成,目标是到 2027 年达到 1,000 名员工。它将由信息安全部 (DIS) 副局长罗伯托·巴尔迪尼 (Roberto Baldini) 领导。其各种目标包括在网络安全领域行使国家权力机构的职能,发展国家预防、监测、检测和缓解能力以应对网络安全事件和网络攻击,并为提高信息和通信技术系统的安全性做出贡献。

黑莓欧洲、中东和非洲地区副总裁 Adam Bangle 表示,意大利政府新的国家网络安全雄心的成功将取决于它能否实现关键目标。“首先是安全标准化。建立安全标准和安全软件开发原则,在整个系统中实行零信任,并确保实施和执行每个安全协议以避免边界防御中的任何盲点,应该成为任何国家网络战略的组成部分。其次,也是最重要的一点,他们必须对网络安全采取主动、基于预防的安全态势。”

英国政府启动 Cyber​​ Runway 业务增长计划

8 月,英国政府公布了旨在促进英国网络安全部门增长的Cyber​​ Runway 项目。在撰写本文时的兴趣表达阶段,Cyber​​ Runway 将看到英国各地的企业家和企业获得商业大师班、指导、产品开发支持、社交活动以及支持国际贸易和安全投资,以便他们能够将他们的将想法转化为商业成功。

数字基础设施部长马特沃曼表示,该项目将解决增长障碍,增加投资,并为公司提供重要支持,将其业务提升到一个新的水平。“该计划还将支持来自不同背景的创始人和创新者——针对来自英国网络领域代表性不足的群体的申请人,例如女性和来自黑人、亚洲和少数族裔背景的人。”

Cyber​​ Runway 旨在在六个月内支持 160 家公司,由数字、文化、媒体和体育部 (DCMS) 资助,并得到 CyLon、德勤和安全信息技术中心 (CSIT) 的支持。CyLon 首席执行官尼克莫里斯补充说:“英国的网络安全生态系统正处于发展的关键和激动人心的时刻,大流行带来了新的挑战和新的机遇。” “Cyber​​ Runway 将支持英国的创新者开发关键的安全技术,以保护我们数字经济的未来。”