2022年美国重大网络安全法规年中盘点与展望
2022年上半年美国联邦政府制订和颁布了多个重要网络安全法案和法规,并且可能会在下半年推进多个法案。
自本届美国国会于2021年1月3日启动以来,至少有498项立法全部或部分涉及网络安全。
虽然迄今只有13项法案通过了两院,仅有9项已成为总统签署的法律。不过,自本届国会启动以来,美国许多重大网络安全政府行动并非源于立法,而是源于行政部门的行动(编者:例如上周美国商务部颁布的对进攻性网络安全工具的出口管制法规修订版本)。
当然,2022年最引人注目的法规毫无疑问使拜登于2021年5月签署的影响巨大的网络安全总统行政令。
已成为法律的重要网络安全法案
2022年美国政府制订并走完立法流程的重要法案包括:
- 《2022关键基础设施法-网络事件报告》。该法规作为今年3月份庞大的综合支出法案的一部分获得通过,并由拜登签署。该法案纠正了联邦机构长期以来认为阻碍网络安全事件管理的问题,即缺乏强制性的事件报告。该法律要求适用范围内关键基础设施实体和联邦机构在确认发生重大网络安全事件和勒索软件支付后72小时内必须向国土安全部(DHS)网络安全和基础设施安全局(CISA)通报事件。它还要求受保护的实体在支付勒索软件款项后在24小时内报告。与此同时,CISA已经开始积极制订新的事件报告规则,计划将持续至少两年。
- 《更好的网络犯罪度量法》(Better Cybercrimes Metric Act)。拜登于5月5日签署的《更好的网络犯罪度量法》旨在通过开发一种新的分类方法来对不同类型的网络犯罪进行分类,从而改善联邦政府跟踪、衡量、分析和起诉网络犯罪的方式。该分类法将输入国家事件报告系统,以收集网络犯罪报告。
- 《国家网络安全预防联盟法》。拜登于5月12日签署成为法律的2021年国家网络安全预防联盟法案允许国土安全部与一个或多个由非营利实体组成的联盟合作,以开发、更新和提供网络安全培训,以支持国土安全。
- 《2021州与地方政府网络安全法》。两院已经通过并正在等待拜登签署的《2021年州与地方政府网络安全法》案允许联邦当局与州和地方实体以及私营公司进行网络安全演习,为他们提供网络安全资源。它还通过赠款和合作协议扩大国土安全部的职责,包括提供与网络威胁指标、主动和防御措施和网络安全技术、网络安全风险和漏洞、事件响应和管理、分析和警告相关的援助和教育。
2022年下半年可能颁布的网络安全立法
2022年下半年,几项已经成熟的网络安全立法有望颁布,值得重点关注的如下:
- 《政府间网络安全信息共享法案》。由参议员Rob Portman (R-OH)发起的《政府间网络安全信息共享法案》要求国土安全部与参议院和众议院签订信息共享协议,以支持交换有关网络安全威胁的信息。此外,根据该法案,国土安全部必须就协议与总统办公厅和其他执行机构进行协商。参议院国土安全委员会于5月下旬投票决定推进该法案。“正如我们最近看到的那样,针对我们的关键基础设施以及联邦政府的网络攻击正在增加。不幸的是,国会中的一些网络安全专业人员在从行政部门获取有关网络安全威胁的信息方面面临长时间的延误,这需要改变。”参议院国土安全和政府事务委员会高级成员波特曼说。
- 《国土安全部在网络空间法案中的角色与责任》。众议院于5月中旬通过并由众议员唐培根(R-NE)于5月中旬提议的《国土安全部在网络空间中的角色和责任》法案要求国土安全部报告其在网络空间安全事件中的角色和责任及参与程度。国土安全部必须与CISA协调后报告。培根说,他在勒索软件攻击殖民地输油管道(Colonial Pipeline)和JBS肉类加工设施后提出了该法案。“联邦政府对这些网络事件的反应不够充分,暴露了我们在保护关键基础设施方面的差距和混乱,”培根说:“很明显,我们的网络事件响应框架必须不断发展以应对威胁。”
- 《总统杯网络安全竞赛法案》。众议院于5月17日通过并由众议员Elaine Luria (D-VA)支持的总统杯网络安全竞赛法案将把由CISA主办的年度总统杯网络安全比赛正式化为法律。
- 《网络安全拨款法案》。由众议员Andrew Garbarino (R-NY)发起并于5月18日在众议院通过的《2022年网络安全拨款法案》使CISA能够为中小学网络安全和基础设施安全教育和培训计划提供拨款或其他财政援助。州、地方、高等教育机构和非营利组织将有资格获得援助。
网络空间日光浴室委员会2.0的预测
颇具影响力的网络空间日光浴室委员会(Cyberspace Solarium Commission)的新版本——CSC 2.0项目的执行董事马克·蒙哥马利(Mark Montgomery)表示,他预测在今年的国防授权法案(NDAA)中颁布以下网络安全立法,NDAA是一项较晚的常用于实现网络安全目标的年度立法工具。根据最初的日光浴室委员会的建议,他对NDAA的“四大”愿望清单是:
- 《保护具有系统重要性的关键基础设施法案》。去年由John Katko (R-NY)和Abigail Spanberger (D-VA)提出的《保护具有系统重要性的关键基础设施法案》将要求CISA明确定义对国家安全、经济稳定和公共卫生影响最大的“具有系统重要性”的关键基础设施的范围。蒙哥马利说,它还需要设计“一个公私契约,为这些资产建立最低级别的安全性,以及一个第三方测试机制和更灵活的报告要求,”蒙哥马利说:“参与的资产将获得更多的情报信息,参与甚至改变情报收集机制。最重要的是,当它们受到APT等恶意网络攻击者的攻击时将获得更好的保护。”
- 《网络威胁信息协作环境计划》(前身为联合协作环境)。蒙哥马利说,“网络威胁信息协作环境计划将指导国土安全部开发一个信息协作环境,其中包含用于信息分析的技术工具和一个门户,相关方(政府和私营部门)通过该门户提交和自动化信息输入和访问环境,以实现可互操作的数据流,使联邦和非联邦实体能够识别、减轻和防止恶意网络活动。”
- 《网络统计局立法》。网络统计局立法是日光浴室委员会的一项关于创建网络统计局的立法提案,于去年11月提出,作为2021年美国基础设施防御法案的一部分,由参议员Angus King (I-Me)赞助。该局将“收集和分析有关网络安全的信息,并编译、分析和传播统一的、匿名的、汇总的国家网络空间数据,这些数据将作为所有相关网络事件的普遍性、程度和属性的指示,”蒙哥马利说:“它将与NIST(国家标准与技术研究所)协调,为这些网络统计数据推荐国家标准。它还将开展或支持与收集或分析网络统计数据的方法有关的研究。”
- 《2021网络外交法案》。众议院于2021年4月通过了由参议员迈克尔·麦考尔(R-TX)和吉姆·朗之万(D-RI)提议的《2021年网络外交法案》。蒙哥马利认为,该法案可以编入给国务院重新授权的资金,作为NDAA的替代方案。蒙哥马利说,该法案将“建立一个局,直接向国务卿或副总统汇报,负责协调国家在网络空间政策和数字外交方面的工作,以鼓励国家在网络空间中负责任的行为,并推进保护互联网基础设施、服务于符合美国利益的政策,提高竞争力,维护民主价值观。”