国防授权法案已成为美国网络立法的首选工具。
美国2023财年国防授权法案进入国会讨论期,认定具有系统重要性的关基设施、网络威胁信息协作环境计划等将成为讨论议题;
国防授权法案已成为美国网络立法的首选工具,各方都积极参与推进,将无争议措施尽可能纳入。
安全内参6月1日消息,又到了一年一度的国防授权法案(NDAA)讨论季。作为美国网络立法的首选工具,关注数字安全的立法者们正努力把握一切机会,将无争议的措施纳入这项必然通过的法案。
整个6月,美国国会两院的军事委员会将不断举行评议会议,媒体采访了安全专家,询问他们最希望今年看到的内容。
具有系统重要性的关键基础设施(SICI)
国会认可网络空间日光浴委员会报告遗留的最高优先事项之一,就是对美国最重要的关键基础设施进行重新认定(必要时可配合第三方评估)。被认定的关键基础设施需要满足更高的网络安全标准,并得到政府的优先支持。
日光浴委员会执行董事Mark Montgomery表示,相关基础设施组织“将有机会获取更多情报信息,甚至有望调整情报收集流程。最重要的是,一旦发生民族国家入侵,这些企业还将获得更好的责任保护。”
“SICI”是即将退休的日光浴委员会成员、众议员Jim Langevin(罗得岛州民主党人)力推的重点事项。同时,网络安全与基础设施安全局(CISA)也在局长Jen Easterly的领导下,努力确定所谓“具有系统重要性的主要实体”。
更好的信息共享门户
日光浴委员会还建议设立联合协作环境,以供政府机构及行业合作伙伴在其中提交网络威胁信息,并使用高级分析技术来处理黑客指标的大数据集。
支持者们表示,通过这套门户,网络安全与基础设施安全局新的联合网络防御协作组织成员之间能够更好地共享数据。
Montgomery引用了这项提议,将其以《网络威胁信息协作环境计划》的名字列为新一年国防授权法案中的优先事项。
简化技术合同
老化的联邦计算机系统正在成为黑客攻击的侵扰对象,但贸然升级同样可能带来好坏参半的结果。
美国软件商贸组织软件联盟(BSA)的政策主管Henry Young敦促称,国会应简化国防部网络安全成熟度模型认证(CMMC)计划的参与流程,确保这项计划真正如预期般将安全的现代软件供应商引入国防部。
Young指出,这项认证计划应该让“我们在证明合规性方面拥有灵活空间”,特别是帮助更多小体量企业进入这部分市场。
改善网络外交
众议院已经通过立法,将在国务院之下设立新的局级单位,负责向盟友提供网络援助、促进负责任数字行为规范、帮助制定安全技术标准。然而,这项《网络外交法》(H.R. 1251)却在参议院被搁置。
虽然拜登政府最近新成立了局级单位——网络空间和数字政策局。但《网络外交法》的支持者们认为,至少还应强调两个重点:
1)向各盟友传达成立新局的消息和意义;
2)防止该局被下一任政府取消。
Montgomery已敦促国会通过此项法案。
保护软件
近期一系列网络攻击(如SolarWinds攻击)已经凸显出,现有软件供应链不够透明且易受操纵。
为了给政府其他部门树立榜样,软件联盟的Young认为,国防授权法案应要求国防部公布其开源软件使用情况与使用政策,网络安全与基础设施安全局、国家标准与技术研究院(NIST)等负责软件供应链安全的各机构间应进行更好的协同。
Young还鼓励立法者们支持制定可用的软件物料清单(SBOM)模型,借此提高软件中所使用代码的透明度。
NDAA已成为美国网络立法的首选工具
回顾2022财年国防授权法案,可以看到其中汇总了国会在2021年网络安全方面的不少努力。法案中共囊括37项侧重于国内政策的网络安全修正案,这还不算国际合作类修正案内容(例如Sec.1551)。
以下是四个方向的修订数量:
劳动力:扩大网络安全劳动力,或解决当前网安劳动力短缺问题。
有8项修正案涉及增强网络安全劳动力的机制。
能力建设:提升网络安全能力。
有20项修正案侧重于能力建设。
风险评估:分析潜在网络安全漏洞,经常向利益相关方提交报告或简报。
有16项修正案涉及风险评估。
组织:修改联邦政府当前组织结构,例如延长职位期限、制定计划或更新机构流程。
有33项修正案涉及联邦组织结构。
参考资料:politico.com、csis.org
文章转自安全内参,点击阅读原文可查看完整内容