周三,拜登总统签署了一项旨在加强国家网络安全的国家安全备忘录。
该备忘录指示国土安全部下属的网络安全和基础设施安全局 (CISA) 以及商务部下属国家标准与技术研究院 (NIST) 与其他机构合作,为美国提供电力、供水和交通等基本服务的公司制定网络安全性能标准。当控制这些关键基础设施的系统因勒索软件攻击等事件而发生故障或中断时,可能会危及国家安全、经济安全以及公众健康和安全。
该备忘录还正式建立了总统工业控制系统网络安全 (ICS) 计划,这是一项由联邦政府和关键基础设施界之间自愿合作的努力,旨在建立能够检测网络威胁并及时发送警报的系统。ICS 计划于 4 月中旬启动,首先进行了电力子部门试点,能源部与 150 多家电力公用事业公司合作,为其控制系统规划和部署网络安全技术。官员们还召集了多家公用事业公司和管道公司的首席执行官,向他们简要介绍网络安全威胁。
今年早些时候,国土安全部下属的运输安全管理局 (TSA) 发布了一项指令,要求关键的石油管道所有者和运营商报告网络安全事件,并在 一家主要石油管道遭到勒索软件攻击 后,由指定的网络安全协调员审查其现有实践。
[相关: 勒索软件攻击如何导致美国主要燃油管道停运]
上周,TSA 发布了第二项指令,要求运输危险液体和天然气的管道所有者和运营商采取措施,防范勒索软件和其他网络攻击。他们还要求制定恢复计划。所有者每年必须审查其网络安全设计。
“世界各地关键基础设施近期发生的高调袭击事件,包括美国境内的 Colonial Pipeline 和 JBS Foods 遭受的勒索软件攻击,表明美国的关键基础设施存在重大的网络漏洞,而这些基础设施大部分由私营部门拥有和运营,”一位高级政府官员周二晚间在一次新闻发布会上表示,根据讨论记录。
国家安全备忘录、工业控制系统网络安全计划以及运输安全管理局的安全指令,都在为政府部门持续努力更新国家网络安全防御体系提供支持。政府部门还在与其他国家就构建集体防御进行谈判。
[相关: 拜登的大行政命令对互联网、航空旅行等方面意味着什么]
然而,截至目前,美国在关键基础设施的网络安全方面还没有战略性的、协调一致的要求。这位高级政府官员在电话会议中指出,强制性的网络安全要求要么是特定于行业的(如金融和化工行业),要么由州或地方法律监管(如电力行业),要么是有限且零散的(如供水和电力)。
“保障我们的关键基础设施需要全国性的共同努力,行业也必须发挥其作用。这些可能是自愿的,但我们希望并期望所有负责任的关键基础设施所有者和运营商都能应用它们,”这位高级官员说。“我们再怎么强调都不过分,他们有责任为他们服务的美国人民提供更具弹性的关键服务……我们尽量以自愿的方式开始,因为我们希望以全面合作的方式来实现这一点。但我们也正在寻求我们拥有的所有选项,以便取得我们所需要的快速进展。”
