拜登签发国家安全备忘录加速推动关键基础设施网络安全升级--工业控制系统网络安全是重中之重
2021-07-29
来源:关键基础设施安全应急响应中心
美国总统拜登(Joe Biden)当地时间7月28日签署了一份国家安全备忘录,要求联邦机构制定关键基础设施的网络安全性能目标。备忘录指出,保护美国的关键基础设施是政府在联邦、州、地方、部落和领土层面的责任,也是基础设施所有者和运营商的责任。对控制和运营国家所依赖的关键基础设施的系统构成的网络安全威胁,是美国面临的最重要和日益严重的问题之一。控制这一基础设施的系统的退化、破坏或故障可能会对美国的国家和经济安全造成重大损害。备忘录共计五个部分,其中第2 和第3部分重点阐述了加强工业控制系统网络安全的计划和推进落实计划。
这一指令是拜登政府的最新举措,旨在让关键行业参与改善可能影响国家安全和经济的网络安全领域。在这份行政备忘录之前,美国运输安全管理局(Transportation security Administration)上周发布了一项安全指令,要求运输安全管理局指定的关键管道所有者和运营商实施缓解措施,以防范勒索软件和其他威胁。
“考虑到我们今天面临的不断演变的威胁,我们目前的防御态势是远远不够的,”一名高级政府官员在7月27日的电话会议上告诉记者。“我们真的拖延了很长一段时间。政府致力于利用我们拥有的每一项权力,尽管这些权力有限,我们也对自愿和强制性的新方法持开放态度。”
美国国土安全部(Department of Homeland Security)的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)以及商务部(Commerce Department)的国家标准与技术协会(National Institute of Standards and Technology)将牵头实施这一举措。这位官员没有详细说明CISA和NIST在性能目标中可能包括哪些基准,但表示,该计划将进一步推进政府实现美国网络防御现代化的目标。
备忘录概述道:“这些绩效目标应该成为所有者和运营商在网络安全实践和防御态势方面的明确指导,美国人民可以信任这些基本服务,也应该期待这些服务。”
备忘录规定,9月22日是国土安全部发布关键基础设施部门初步目标的最后期限。最终的跨部门和单个行业目标将在备忘录发布后的一年内发布。
该备忘录还正式确立了拜登总统的工业控制系统网络安全倡议,该倡议于今年4月在电力部门启动。该官员表示,作为试点的结果,代表近9000万客户的150多家电力公司正在部署或同意部署控制系统网络安全技术。天然气和管道行业是该计划的下一个重点。
“我们想说的是,联邦政府不能单独做这件事,”这位官员告诉记者。“这些规定可能是自愿的,但我们希望并期望所有负责任的关键基础设施所有者和运营商都能实施这些规定。”
近几个月来,一系列备受瞩目的网络攻击事件让美国关键行业的安全漏洞暴露在聚光灯下。其中,就在阵亡将士纪念日(Memorial Day,5月的最后一个星期一)周末前夕,一场勒索软件攻击迫使主要燃料供应商Colonial Pipeline停产,导致美国出现恐慌引发的天然气短缺。
政府官员说,目前,政府是在现有权力范围内开展工作的,涉及关键行业的企业时,现有权力范围非常小。美国绝大多数的关键基础设施都由私营部门拥有。关键行业的安全标准基本上是零敲碎打的,由部门或州和地方的指导方针制定。
这位高级官员承认,要从自愿标准转变为强制性要求,可能需要与国会合作。这位官员说:“缺乏立法,没有一个全面的方法来要求部署安全技术和实践,以解决我们面临的真正威胁环境。”
国会议员已经提出了一系列旨在解决关键基础设施安全漏洞的法案,其中包括弗吉尼亚州民主党参议员马克·华纳(Mark Warner)提出的立法。这将要求关键行业向联邦政府报告违规行为。
该官员表示,政府还在探索绩效激励措施,如拨款、税收抵免和网络保险,以加速自愿采纳网络安全措施。
关于改善关键基础设施控制系统网络安全的国家安全备忘录
保护我们国家的关键基础设施是政府在联邦、州、地方、部落和领土层面的责任,也是基础设施所有者和运营商的责任。对控制和运营我们所依赖的关键基础设施的系统构成的网络安全威胁,是我们国家面临的最重要和日益严重的问题之一。控制这一基础设施的系统的退化、破坏或故障可能会对美国的国家和经济安全造成重大损害。
第1节,政策。本届政府的政策是保护国家的重要基础设施,与特定的网络安全和弹性系统支持国家关键功能(NCF),NCF定义为政府和私营部门的功能对美国至关重要,他们中断、腐败或功能障碍将对国家安全、经济安全、公共健康或安全,或两者的任何组合产生削弱作用。
第2节,工业控制系统网络安全倡议。因此,我提出了工业控制系统网络安全倡议(Initiative),这是联邦政府和关键基础设施社区之间自愿的合作努力,以显著改善这些关键系统的网络安全。该倡议的主要目标是通过鼓励和促进技术和系统的部署来保护美国的关键基础设施,以提供威胁的可视性、迹象、探测和警告,这有助于提高基本控制系统和操作技术网络的网络安全响应能力。该计划的目标是在优先级关键基础设施中极大地扩展这些技术的部署。
第3节,推进工业控制系统网络安全倡议。该倡议为政府和工业界合作,在各自的控制范围内立即采取行动,为解决这些严重威胁创造一条道路。该倡议以关键基础设施领域正在进行的网络安全努力为基础,扩大并加快其步伐,是应对这些威胁的重要一步。我们无法应对我们看不到的威胁;因此,部署能够监控控制系统以检测恶意活动并促进对网络威胁的响应行动的系统和技术,对于确保这些关键系统的安全运行至关重要。联邦政府将与工业界合作,在全国范围内共享优先控制系统关键基础设施的威胁信息。
( a ) 该倡议首先是电力部门的试点工作,现在是天然气管道的类似工作。今年晚些时候,水和废水部门系统和化学部门将继续努力。
( b ) 根据公法116-283第9002(a)(7)节定义的部门风险管理机构,以及其他执行部门和机构,在适当的情况下,在符合适用法律的情况下,应与关键基础设施利益相关者、所有者和运营商合作,实施本备忘录中概述的原则和政策。
第4节,关键基础设施网络安全性能目标。关键基础设施领域的网络安全需求各不相同,网络安全实践也是如此。然而,我们需要在所有关键基础设施领域实现一致的网络安全基线目标,同时还需要对依赖控制系统的选定关键基础设施进行安全控制。
( a ) 根据2013年2月12日第13636号行政命令(改善关键基础设施网络安全)第7(d)条,国土安全部部长与商务部长(通过国家标准与技术研究所所长)及其他相关机构协调,应制定并发布关键基础设施的网络安全绩效目标,以促进对关键基础设施所有者和运营商应遵循的基本安全实践的共识,以保护国家和经济安全,以及公共健康和安全。
( b ) 此项努力应首先由国土安全部部长在不迟于2021年9月22日发布跨关键基础设施部门控制系统的初步目标,然后在本备忘录签署之日起一年内发布跨部门控制系统的最终目标。此外,在与相关机构磋商后,国土安全部部长应在本备忘录签署之日起一年内发布特定行业的关键基础设施网络安全性能目标。这些绩效目标应该成为业主和运营商关于美国人民可以信任的网络安全实践和防御态势的明确指导,并应该期待这些基本服务。这一努力可能还包括审查额外的法律授权是否有利于加强关键基础设施的网络安全,这对美国人民和我们国家的安全至关重要。
第5节,通用规定。( a ) 本备忘录的任何内容不得解释为损害或以其他方式影响:
( i ) 法律授予行政部门或机构或其首长的权力;或
( ii ) 管理和预算办公室主任关于预算、行政或立法提案的职能。
( b ) 本备忘录应按照适用法律执行,并在可能需要资金援助以执行控制系统网络安全建议的情况下,在拨款的情况下执行。
( c ) 本备忘录不旨在,也不创造任何一方针对美国、其部门、机构或实体、其官员、雇员或代理或任何其他人士可在法律或衡平法上强制执行的任何实质性或程序性权利或利益。