美国参议院通过了一项新的网络安全法案,该法案将迫使关键的基础设施组织在72小时内向网络安全与基础设施安全局(CISA)报告网络攻击,并在24小时内支付赎金。
《加强美国网络安全法案》于2月8日由美国参议院国土安全与政府事务委员会主席、资深议员罗布·波特曼和加里·彼得斯提出,并于周二获得一致通过。
该法案结合了《网络事件报告法案》(Cyber Incident Reporting act)、《2021年联邦信息安全现代化法案》(Federal Information Security Modernization act)和《联邦安全云改进和就业法案》(Federal Secure Cloud Improvement and Jobs act)的部分内容——这些都是彼得斯和波特曼(Peters)撰写的,在陷入困境之前被逐出了委员会。
这份200页的法案包括了几项旨在使联邦政府的网络安全姿态现代化的措施,彼得斯和波特曼都表示,鉴于美国对乌克兰的支持,这项立法是“迫切需要的”。上周,乌克兰遭到俄罗斯入侵。
“随着我们的国家继续支持乌克兰,我们必须做好准备,应对来自俄罗斯政府的报复性网络攻击……这项具有里程碑意义的立法现在已经在参议院获得通过,这是朝着确保美国能够打击网络罪犯和发起这些持续攻击的外国对手迈出的重要一步。”
“我们具有里程碑意义的两党法案将确保CISA成为主要的政府机构,负责帮助关键的基础设施运营商和民事联邦机构应对和恢复重大网络入侵,并减轻黑客对运营的影响。我将继续敦促众议院的同事们通过这项迫切需要的立法,随着新漏洞的发现,改善公共和私人网络安全,并确保联邦政府能够安全可靠地利用云技术来节省纳税人的钱。”
该法案还授权联邦风险与授权管理计划(FedRAMP)为期五年,以确保联邦机构能够“迅速、安全地采用基于云的技术,提高政府运作和效率”。该法案试图简化联邦政府网络安全法律,以改善联邦机构之间的协调,并要求所有民事机构向CISA报告所有网络攻击。
该法案更新了各机构向国会报告网络事件的门槛,并赋予CISA更大的权力,以确保它是负责应对联邦民用网络网络安全事件的主要联邦机构。
现在该法案将在众议院进行投票,然后送交总统乔·拜登(Joe Biden)。彼得斯和波特曼表示,他们一直在与众议院监督委员会主席卡罗琳·马洛尼以及众议院的共和党和民主党议员合作,以使该法案获得通过。
马洛尼告诉ZDNet,该法案包含联邦信息安全现代化法案,她称这一条款是她的“立法优先事项”之一。
马洛尼说:“监督和改革委员会于2022年启动了一场两党听证会和审议,以研究如何最好地实现FISMA现代化,我们期待在这项努力通过立法程序的过程中吸取这些重要的经验教训。”
“FISMA改革将决定我们未来几年的联邦网络安全态势,至关重要的是,最终法案要抓住每一个机会,保护我们的联邦网络免受他们每天面临的攻击。”
在他自己的声明中,波特曼还吹嘘了该法案将更新FISMA的方式,并提供“必要的问责,以解决联邦网络安全长期存在的弱点,明确角色和责任,并要求政府在美国人民的信息被泄露时迅速通知他们。”
两位参议员都指出,该法案本应适用于2021年针对Colonial Pipeline和全球肉类加工企业JBS的勒索软件攻击。但两人表示,该法案将“有助于确保银行、电网、供水网络和交通系统等关键基础设施实体能够在网络遭到破坏的情况下迅速恢复,并为美国人民提供必要的服务。”
CyberSaint联合创始人帕德里亚克•奥莱利直接与金融服务、公用事业和政府的关键基础设施合作,以衡量网络风险。
O'Reilly解释说,目前的网络安全格局已经打破了某些关键基础设施部门长期以来对事件72小时报告窗口的抗拒。
“立法中有两个非常深入的部分让我印象深刻。他们谈到了一项基于预算的风险分析,以改善网络安全,以及基于指标的网络总体方法。这正是我们所需要的,这在业内已经有一段时间了。”
第115节涵盖了自动化报告。这是非常及时的,因为私营部门已经在推进自动化,这是未来风险管理的关键。在法案中看到这一点让我印象深刻。多年来,政府一直在努力推动所有机构和部门的这一事业。第119条确实触及了风险管理的圣杯,即在预算方面优先考虑网络安全风险的能力。”
