经过多年的审议和几次失败的开始,一个由两党议员组成的小组提出了网络安全改革方案,该方案将授权国土安全部(Department of Homeland Security)监督关键基础设施提供商的安全,改善有关威胁的信息共享系统。
周二,由代表三个委员会的两党参议员组成的小组提出了期待已久的网络安全法案,这是一项全面的法案,将赋予国土安全部(Department of Homeland Security)在关键私营部门基础设施方面的新权力,并寻求鼓励政府和企业之间分享有关威胁和攻击的信息。
《2012年网络安全法案》将指示国土安全部与行业成员和相关政府机构合作,进行一系列风险评估,并确定哪些私营企业将被视为运营“涵盖的关键基础设施”,这是一个至关重要的称号,将决定私营部门实体是否会受到新的监管监督。
该法案为国土安全部的评估提供了一套广泛的指导方针。覆盖范围内的关键基础设施提供商将是网络攻击可能导致“生命维持服务中断”的实体,如能源或交通,可能导致大规模人员伤亡或大规模疏散,或造成“美国灾难性的经济损失”或“国家安全或国家安全能力的严重退化”。2020欧洲杯夺冠热门避免“网络911”
该法案的发起人之一、参议员乔·利伯曼(I-Conn.)周二在参议院提出紧急情况,称需要对国家的网络安全制度进行全面改革,以避免“网络911”。
国土安全和政府事务委员会主席利伯曼说:“这项法案的目的是确保在这样的袭击发生后,我们在国会不会仓促行事,去做我们今天能够和应该做的事情。”“事实是,我们的网络防御没有达到应有的水平,但即便如此,它们也在闪烁红色的光芒。”
和利伯曼一样,国土安全委员会的资深共和党人苏珊·柯林斯(缅因州)、商务委员会主席约翰·洛克菲勒(西弗吉尼亚州民主党)和情报特别委员会主席黛安·范斯坦(加利福尼亚州民主党)也成为了该法案的最初提案人。
该法案是大约三年积极起草立法的成果,以实现联邦监管当局的更新和扩大,以应对现代威胁景观和日益增加的重要系统的数字化,如电网和金融服务,而不是让私营运营商承担繁重的合规任务。
这并不是一个容易达到的平衡。各种立法提案都遭到了行业组织的严厉批评,因为它们将制定的新法规,以及数字权利组织对潜在隐私侵犯的严厉批评,而现在已经被抛弃的给总统扩大权限,在发生重大网络攻击时关闭网络系统的想法被证明是批评的避雷针。这一所谓的“关闭开关”条款被反对者解释为总统在宣布网络紧急状态后将拥有关闭互联网的不受限制的权力。利伯曼在提出这项新立法时试图平息这种指责。
他在参议院发言时表示:“这项法案根本没有这样的内容。”
国土安全与政府事务委员会(Homeland Security and government Affairs Committee)计划于周四举行听证会,审议该法案。洛克菲勒和国土安全部部长珍妮特·纳波利塔诺都将出席作证。他们的证词将紧随其后的目击者,包括斯科特•恰尼公司微软的可信任运算集团副总裁、前国土安全部部长汤姆·脊,现任国家安全工作组主席对美国商会(U.S. Chamber of Commerce),批评的某些规定立法提议。
多数党领袖里德(Harry Reid)的发言人詹特森(Adam Jentleson)证实,里德打算在下一个工作期间将该法案提交参议院讨论,但他无法进一步缩短时间框架。他说:“这个问题还在研究中。”在下周休会后,参议院将于本月底复会,工作将持续到明年3月。
支持扩大联邦网络管理机构的人士指出,据估计,美国80%至90%的关键基础设施由私营部门拥有和运营,而私营部门对该法案的早期反应不一。
“我们的观点是,确实存在威胁。有必要采取行动。私营部门和公共部门非常需要合作,”安全软件供应商McAfee的政府关系副总裁Tom Gann说。
但McAfee仍对扩大监管范围持怀疑态度。一位公司高管最近在众议院网络安全威胁和适当政策应对小组委员会作证时告诉议员,税收抵免和责任保护等积极激励措施通常优于惩罚措施,比如对未能遵守一套新规定的处罚措施。
“一个有待解决的大问题是,国土安全部在信息共享、分享最佳做法之外还能做到什么程度……江恩在一次采访中说。他说,“没有人认为增加安全没有意义”,但重要的问题是“如何激励安全”。
江恩承认,他和他的政策团队仍在审查这份冗长的法案,他并不认为国土安全部不应该在促进私人网络更强的安全方面发挥任何作用,而是认为,作为一般原则,法规并不是增强安全的可靠催化剂。政治实用主义的问题,他建议对提案的议员们集中精力在新法案,享受更强的两党支持,信息共享等规定和措施来支撑政府系统,特别是在高度政治化的会话下election-shortened立法工作日历。
定义国土安全部的职权范围
但该法案的作者对监管过度的指控并不陌生。周二推出的这项立法具有一定的灵活性,旨在减轻受保护企业的负担,比如,国土安全部对已经由一个独立联邦机构监管的行业的实体没有管辖权。被覆盖的关键基础设施运营商将向国土安全部提交他们自己的网络安全性能要求,如果他们被认为不够强大,国土安全部可以否决他们的要求,但运营商证明他们已经有足够的防御措施,可以完全豁免性能要求。
柯林斯星期二在参议院发言时说:“法案中基于风险的绩效要求是经过仔细考虑的。”“此外,关键基础设施的所有者(不是政府)将选择并实施所有者认为最适合的网络安全措施,以满足基于风险的网络安全性能要求。”
如果一家私营实体认为,根据法律的定义,它被错误地视为关键基础设施的提供商,它将向国土安全部本身或联邦法院提出上诉。
此外,在分析中,国土安全部不会就个别产品或技术发表声明,而是将其监督置于风险评估之中。
许多私营部门组织可能会反对法案中为国土安全部提供的扩展档案,但是LogLogic公司(一家帮助企业合规、日志管理和安全事件的IT公司)的首席执行官盖伊·丘奇沃德(Guy Churchward)认为,行业实践仍然不是一贯的安全,政府可以发挥适当的作用,只要它狭义地关注风险,而不是合规。
他在一封电子邮件中写道:“虽然让政府为私人基础设施制定法规似乎有点‘老大哥式’,但我们确实需要一些干预,以加强美国公司的安全态势。”“国土安全部当然可以推动这些指导方针,但为企业提供正确类型的帮助以确保其基础设施的安全也非常重要。我们不需要再出现一种带有不明确指导方针和更多官僚主义的复选框式监管,然后又有策略地购买平庸的复选框产品,留下更多漏洞。”
除了国土安全部语言,它可能会获得最大的反对党,新法案包含一个数量的规定,鼓励企业和政府机构共享信息对潜在的威胁和攻击,包括责任的盾牌来保护公司参与诉讼的所谓的网络交流。
该法案还将建立一个系统,授权私营部门实体从政府部门接收有关网络威胁的机密信息,试图解决业界和政府之间的信息共享往往是单行道的看法。
科技解冻了保密文化Technology McAfee的江恩说,他对新技术的出现感到鼓舞,这些新技术使政府机构和其他机构能够共享相关的威胁数据,同时清除有关其来源和获取方式的信息,这一发展,加上新的立法,可能有助于缓和网络安全前线机构的保密文化。
他说:“我认为技术正在成熟,随着法律制度的成熟,希望两者能够相互融合。”
此外,《网络安全法案》还需要对《联邦信息安全管理法案》进行一系列改革,该法案规定了政府IT系统的安全标准,许多观察家认为这些标准已经严重过时。在修订FISMA程序时,该法案将要求联邦政府在其采购过程中开发一种新的基于风险的评估方法。
该法案的其他条款将寻求增加合格的网络安全工作者的数量,并促进安全技术的研究和开发。
肯尼斯·柯尔宾(Kenneth Corbin),华盛顿作家,为CIO.com报道政府和监管问题。
阅读更多关于政府的信息CIO的政府钻制。
这篇文章,“参议员公布网络安全法案,赋予国土安全权力”最初是由首席信息官 .