云计算业务承载平台
2024.01.05
网络安全观察:美国正在开启网络安全战略新范式
对美国上市公司的高要求已经在15日生效2023年12月15日,美国证券交易委员会(SEC)扩大的网络安全规则——《上市公司网络安全风险管理、策略、治理及事件披露规则》(Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies)生效,该规则要求上市公司在四个工作日内披露事件。这意味着引人注目的网络安全违规行为将比任何数据泄露造成更大的后果。而SEC 的规则只是美国网络安全合规监管变化的冰山一角。
美国联邦政府正在悄然引导经济领域的变革——要求所有16 个关键基础设施部门严格遵守网络安全规定。不过,此事并未大肆宣传,也基本上没有引起媒体、机构投资者或其他任何人的注意。
扩展资料:美国认定的16 个关键基础设施部门
美国网络安全和基础设施安全局(CISA)列出了16个被认为对安全至关重要的此类部门,包括:化工行业、商业设施、通讯业、关键制造部门、水坝部门、国防工业基地部门、紧急服务部门、能源领域、金融服务业、食品和农业部门、政府设施部门、医疗保健和公共卫生部门、信息技术领域、核反应堆、材料和废物部门、交通系统部门、水和废水处理部门等。
这些行业包括众所周知且高度分级的市场,例如分别由美国国防部(DoD)、证券交易委员会(SEC)和能源部(DoE)监管的国防工业、金融服务和能源。然而,这 16 个部门下面的子部门经常被忽视,这些部门基本上涵盖了经济活动中几乎所有的公司及其业务组成部分,联邦政府以越来越快的速度出台新的网络安全合规法规,使得几乎所有类型的企业都处于其监管范围之内。以“商业设施”为例,其下就包括房地产、零售、体育联赛、娱乐场所等八个子板块。网络安全监管和强制性最低网络安全要求无处可躲。
网络安全要求充斥各行各业
尽管有些人认为美国政府为了网络安全扩张了权力、逾越了本职,但这些法规为何来得如此迅猛是显而易见的——美国认为俄罗斯和中国对其构成了巨大的网络威胁。
随着2022年5月白宫签署的《改善国家网络安全的行政命令》(Executive Order on Improving the Nation’s Cybersecurity),这场网络安全革命开始升温,并以一场超越国界运动的方式展开。十几个国家与美国在网络安全问题上采取联合行动,反映出各国与美国理念趋同,并愿意追随其脚步。
扩展资料:美国及其盟友在网络安全方面的联合行动
美国网络安全和基础设施安全局(CISA)与17个美国机构及其国际合作伙伴一起发布了《改变网络安全风险平衡:通过设计软件实现安全的原则和方法》的更新版本,其中包括关于关键原则和指导的进一步细节,并由另外8个国际网络安全机构共同签署。
签署国家和机构包括:CISA、美国联邦调查局(FBI)、美国国家安全局(NSA)以及澳大利亚、加拿大、英国、德国、荷兰和新西兰、捷克共和国、以色列、新加坡、韩国、挪威、OAS/CICTE CSIRTAmericas网络、日本网络安全机构等。
美国白宫的行政命令要求为所有联邦承包商制定强制性的基准标准,以取代目前存在的不一致并拼凑起来的机构特定政策。各个部门和机构并没有坐等这一天的到来,它们正疯狂地发布自己的监管要求。
美国国防部承包商已经通过《国防联邦采办条例补充》(DFARS),以及即将通过的“网络安全成熟度模型认证”(CMMC)2.0计划要求这样做。几年内,国防工作之外的政府承包商可能也将被要求满足强制性的最低网络安全要求,作为获得任何联邦合同的前提条件。
我们已经看到:
美国运输安全管理局(TSA)对机场和飞机运营商发布了新的要求;
美国国土安全部(DHS)颁布了保护“受控非机密信息”(CUI)的法案;
美国环境保护局(EPA)旨在保护水务部门
以及《2022年关键基础设施网络事件报告法案》(CIRCIA)。
美国正朝着一个新兴的网络安全合规范式迈进,随着欺诈性网络安全索赔受到司法审查,连锁反应在法律长廊上产生了共鸣。适当的安全控制将不再是一种“选择”,而是法律和经济上的“必须”,标志着数字弹性和强化经济结构的新时代。
美国正在拉动所有监管杠杆:制定标准、起诉、鼓励举报……
美国政府正在动用一切可利用的监管杠杆,在整个经济体系中制定和执行强制性的网络安全最低标准,就像在汽车上必须安装安全带、安全气囊和其他安全功能一样。
这种潜在的监管扩张并不局限于美国国界——加拿大最近采用了美国“网络安全成熟度模型认证”(CMMC)作为其国防工业基础,日本也将要求政府承包商满足美国的网络安全规定。
满足强制性网络安全最低标准的压力不仅仅是赢得美国联邦政府的合同。美国司法部正在积极利用《虚假申报法》(FCA)追查政府承包商与网络安全相关的欺诈行为。随着举报员工站出来领取巨额奖励,相关案件开始堆积起来。
2022年10月,美国宾夕法尼亚州立大学被前首席信息官(CIO)起诉,指控其未能保护“受控非机密信息”(CUI)并故意提交虚假安全合规报告。这个案子还在审理中,但审判结果已经有先例可循——去年7月,Aerojet Rocketdyne公司同意支付900万美元解决一起类似案件。2022年,在《虚假申报法》案件的和解和判决中,被告支付的罚款或和解费用超过22亿美元,其中超过17亿美元与医疗保健行业有关。
扩展资料:美国宾夕法尼亚州立大学案件
2021年10月,美国司法部(DOJ)启动了民事网络欺诈计划,利用《虚假申报法》(FCA)执行美国联邦承包商和赠款接受者要求的网络安全标准。重要的是,FCA 包括一项举报人条款,允许私人团体识别欺诈行为并分享赔偿。宾夕法尼亚州立大学的调查是美国司法部在2022年执行该计划的成果之一。
美国司法部表示此计划主要针对那些有违反故意的行为:提供有缺陷的网络安全产品或服务、歪曲网络安全实践或协议、违反监控和报告网络安全事件和违规行为的义务。其中,“受控非机密信息”(CUI)合规性是优先执行领域。
根据《国防联邦采购条例补充》(DFARS)条款 252.204-7012 要求国防部承包商提供“足够的安全性”来保护 CUI,其中至少包括实施美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-171 中规定的安全控制措施。而宾夕法尼亚州立大学前首席信息官声称,该大学准备了故意不准确的基本评估,以淡化对该大学涉嫌 CUI 违规行为的内部调查结果的影响,然后将其提交给国防部,以保持获得合同授予的资格。
为了进一步坚定落实这些法规的决心,美国政府已开始起诉个别公司和员工,指控他们在网络漏洞方面误导投资者,欺骗投资者,就像对 SolarWinds 及其前安全副总裁蒂姆·布朗(Tim Brown)做的那样。
美国每个经济部门都面临着加强数字防御的变革指令。安全态势已从最高级的因素演变为影响利润的关键因素。这不仅仅是政策的改变,更是范式的转变,使网络安全合规成为法律上的必要条件和当务之急,因为它的影响比以往任何时候都要深远。
作者:埃里克·努南 (Eric Noonan) 曾在美国中央情报局任职,目前是美国网络安全公司CyberSheath的首席执行官。
【免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。