2023年3月2日,白宫国家网络主任办公室(“ONCD”)发布拜登政府(“政府”)期待已久国家网络安全战略(“战略”),这是自2018年9月特朗普政府发布战略以来的第一次。该战略非常明确地将网络安全定位为一个关键的国家安全问题,并以政府2021年5月发布的《网络安全战略》为基础关于改善国家网络安全的行政命令创建了ONCD,并在国家安全委员会设立了一个负责网络和新兴技术的副国家安全顾问。
该战略显示了政府对进一步加强国家网络安全态势的坚定承诺。对该战略的早期反应大体上是有利的。然而,该策略也包含了将软件漏洞的责任转移到开发人员身上的条款。这种根本性的转变将引发新的诉讼,并可能颠覆违约应对。
该战略由五个“支柱”组成,每个“支柱”都有自己的战略目标。在Debevoise数据博客系列的第1部分中,我们讨论了支柱1、3和4的关键条款,这些条款主要通过呼吁扩大网络安全标准来影响私营部门,通过胡萝卜加大棒来改变市场激励机制,并努力确保某些互联网基础设施的安全。第2部分将介绍支柱2和支柱5,涉及政府在破坏和消除威胁行为者方面的努力,并围绕网络安全建立国际伙伴关系。
战略内容是什么?
该战略有五个指导支柱,通过以下方式将各州和私营行业的不同网络安全行动编纂成法:(i)倡导立法保护国家关键基础设施;(ii)通过正式宣布勒索软件为国家安全威胁,强调威慑和检测威胁行为者;(iii)建议通过政府采购和拟议立法来塑造市场活动;(iv)寻求在网络安全弹性方面的公私投资;(五)开展国际合作,保护网络空间。
该战略支柱1、3和4的最重要成果包括:
- 责任转移:如果政府成功地推动立法改革,推翻软件许可协议中现有的责任限制,软件制造商和分销商以及他们的客户将面临责任格局的变化。网络安全和基础设施安全局局长珍·伊斯特利(Jen Easterly)利用该战略发布前的最后两个月为这一根本性转变奠定了基础。与软件开发人员一起确保他们在软件开发中采用最佳实践,形成这个建议的努力将是至关重要的。
- 提高标准:该战略呼吁通过以下方式提高网络安全标准,例如最近在运输和管道部门实施的标准:(i)进一步扩大类似的联邦网络安全标准,(ii)促进其他关键部门(包括云基础设施和其他基本第三方服务)的监管协调。关键领域的公司及其第三方基础设施提供商尤其应该熟悉联邦网络安全标准以及国家标准与技术研究所(“NIST”)指导方针的最新例子,这些指导方针为这些新的监管要求提供了信息。
- 隐私法规:政府似乎正在利用该战略推动联邦立法,对个人数据的收集、使用、转移和维护施加明确的限制,即联邦隐私法规。个人数据的“管理者”应该预料到苛刻的要求,但希望有一个联邦标准,可以使现有的州与州之间的拼凑更加协调。
- 监管协调:网络空间中立法和监管活动的冲击导致业界呼吁协调立法、报告和审查。该策略是一个明确的信号,表明政府正在倾听。在呼吁制定新立法的同时,人们也认识到,在这一领域有太多监管机构在没有充分协调的情况下运作。
支柱1、3和4的主要战略目标
支柱1:保护关键基础设施
该支柱旨在确保关键基础设施的所有者和运营商,以及他们的供应商、服务提供商和适用的联邦机构合作伙伴和监管机构合作,使美国基础设施具有防御能力和抵御网络安全攻击的弹性。尽管关键基础设施通常是联邦政府的领域,但私营实体本质上也参与其中及其网络安全,因此这一支柱寻求协调公共和私人网络标准。
扩大网络安全要求以支持国家安全和公共安全
该战略指出了在关键基础设施领域增加网络安全监管和协调现有监管的计划。该战略规定,政府计划基于网络安全和基础设施安全局(“CISA”)和NIST发布的现有网络安全框架,为关键基础设施提供商制定强制性最低网络安全要求。这些要求将增加2022年3月15日《2022年关键基础设施网络事件报告法案》(“CIRCIA”)中规定的报告义务。我们讨论了在之前的Debevoise数据博客文章中提到CIRCIA,该战略对改进标准的强调遵循了监管机构为某些敏感受监管行业提供规则的趋势,例如金融服务,银行和证券发行人。
该战略还敦促监管机构通过与关键基础设施相关的网络安全法规,促进采用设计安全原则,与最近的目标和指导方针一致。某些监管机构已经开始考虑与网络安全相关的法规和最佳实践。例如,在战略发布的第二天,环境保护署发布了一份谅解备忘录解决美国公共供水系统的网络安全问题。除了提倡加强对关键基础设施提供商的网络安全监管外,该战略还指出,此类监管应适用于关键基础设施实体的第三方服务提供商,包括“对运营弹性至关重要”的云存储提供商。
支柱三:塑造市场力量,推动安全和恢复力
这一支柱旨在激励市场参与者更新其网络安全和隐私政策和程序,以更好地保护自己和客户免受网络安全事件的影响。该战略认识到,联邦政府不能阻止所有针对私人实体的网络攻击,但可以利用其权力将负担和责任从消费者转移到企业。
个人数据管理的新联邦标准
该战略主张通过立法解决数字时代消费者隐私保护问题,指出数据管理员应该对他们可以使用、转移和维护个人数据的程度有明确的限制,并且这些限制应该基于NIST的标准和指南。这一主张表明,国家强调对组织使用、转移和维护个人数据的能力进行强有力的、明确的限制,并似乎敦促国会恢复对该法案的审议美国资料私隐及保护法案。虽然ADPPA去年夏天未能通过,各州隐私法的拼凑造成了越来越多的不一致和低效可能会导致国家网络安全法律的通过,要求数据保护与NIST的指导方针一致。然而,目前尚不清楚在一个分裂的政府中,该战略是否会产生除行政行动之外的任何影响。
转移不安全软件产品和服务的责任
也许该战略提出的最重要的变化,隐藏在支柱3中,是软件行业的巨大责任转移。从历史上看,软件许可协议极大地限制了软件制造商和分销商对其代码中的漏洞的责任。这一目标应该是私人实体关注的重点领域,因为它将代表软件提供商责任的根本转变。该策略旨在处理不安全的软件和服务对下游的影响,目的是将数据安全的责任由软件购买者(例如企业和个人消费者)转移至软件提供者,为向市场推出易受攻击的产品或服务规定新的注意标准和直接责任。它还将“鼓励在所有技术类型和部门协调漏洞披露”,特别强调根除关键基础设施中的脆弱软件。为了进一步鼓励默认安全和设计安全的软件,该战略主张立法,包括为遵循NIST安全软件开发框架的隐私和数据安全最佳实践的公司提供安全港,允许他们继续创新,而不必担心后续违规的责任。
正如中钢协主任Jen Easterly在在卡内基梅隆大学的演讲该战略提倡“一种模式,在这种模式中,技术安全责任的分担基于一个组织承担责任的能力,并在尽可能早的阶段解决问题——也就是说,在技术设计的时候,而不是在技术使用的时候。”正如预期的那样,软件公司不能完全免除合同违约的责任,因此那些提供不安全产品的供应商将因未能达到这些标准而面临更大的诉讼风险。如果没有软件开发人员的责任,政府可能无法解决不安全软件和服务的下游影响。然而,如果实施,它可能会导致任何向消费者提供软件的公司面临跨部门的责任风险。在开发过程中要求积极主动的网络安全是否会延迟或扼杀软件创新仍有待观察。
联邦网络保险支持
该战略还建议评估建立一个援助计划的可行性,以便在发生灾难性网络事件并损害整个网络生态系统的实体时稳定市场。根据该计划,美国财政部将为保险公司在网络事件中面临的财务风险提供支持。该战略还主张制定一项计划,在发生灾难时支持现有的网络保险市场。每一项援助计划都能在灾难发生时提供稳定和恢复力,该战略鼓励国会、国家和行业行为体之间的合作。
支柱四:投资于有弹性的未来
第四支柱的重点是确保整个互联网的安全,投资于网络劳动力和研发,包括量子计算和清洁能源。该战略建议“鼓励并支持投资于强大的、可验证的数字身份解决方案,以促进安全性、可访问性和互操作性、金融和社会包容、消费者隐私和经济增长”,从而使美国在网络安全方面的做法不会被动。
政府保护互联网基础设施的努力
该战略表明,政府将喜欢更新互联网基础设施的基础,以减轻根深蒂固的漏洞的影响。为此,该战略建议技术人员采取措施“清理”已知的和普遍存在的关于互联网架构的问题,例如未加密的域名请求和采用新技术来增加互联网的安全性。该战略提议,联邦政府对人工智能和量子计算等下一代技术的网络安全风险进行研究和开发,以确保美国为采用这些技术做好准备。该战略明确指出,量子计算是一个感兴趣的领域,特别是由于它对现有的、广泛使用的加密方法和标准构成威胁。
开发新的数字技术和基础设施
该战略还注重投资新技术,以支持数字生态系统。其中一项技术是可验证的数字身份解决方案,可用于获得政府福利和服务、通信和社交网络,以及数字合同和支付系统。该战略指出,这项技术是为了打击凭证和身份盗窃。然而,它指出,创建此类凭证时应考虑到隐私、安全、公民自由、公平、可访问性和可操作性。
该战略设想实施的其他技术是可再生能源技术解决方案,如发电和存储设备,以提高电网的弹性、安全性和效率。
关键的外卖
- 潜在的软件漏洞的责任转移到制造商和分销商对糟糕的开发过程负责。如果政府成功推动立法,推翻现有许可协议中的责任豁免,软件行业及其客户将经历一种范式转变,这将大大提高他们的风险潜力,并为健壮的软件开发生命周期创造巨大的经济激励,这是由NIST软件开发标准告知的,旨在使他们有资格获得战略中提到的“安全港”类型。由于软件开发人员通过合同限制责任的能力可能受到限制,消费者(包括公司和个人)将希望重新检查他们的购买协议,并确保有利的条款。
- 更大的网络安全监管,但希望加强协调:随着监管机构采取措施响应该战略的呼吁,建立与NIST标准和准则一致的行业特定网络安全要求,公司,特别是关键基础设施领域的公司,应该期待更多的规则制定和立法,就像他们在运输和管道行业所做的那样。那些持有个人数据的人,无论在哪个行业,都可以期待一个关于个人数据收集、使用、转移和维护的可能的联邦标准。至于这两个领域的监管加强,我们有理由希望,到目前为止,这些要求一直是分散的合规消耗,公司资源本可以更好地用于保护网络。
- NIST指南占据中心舞台:尚未使用NIST网络安全框架的公司应该这样做获得熟悉NIST的标准以及为未来立法做准备的指导方针,并应跟踪国会可能采取的行动,以恢复ADPPA。他们可以通过确保他们的软件开发和维护与NIST标准和指南一致来实现这一点,以利用拟议的安全港条款。此外,虽然漏洞披露可能会加重合规性,但它似乎有望改善整个生态系统的网络安全。公司可以评估内部的漏洞,并准备在国会采取行动之前进行披露。
- 数字身份:一个强大的数字身份生态系统引发了一些问题:企业将如何运营,以及它们对数字身份的使用是否会加剧现有的数据隐私担忧。该战略特别建议,任何国家数字身份系统都必须使用最安全的数据隐私和网络安全控制措施,如果这些控制措施得到普及,则要求公司在连接到这一生态系统时考虑公民自由、公平、可访问性和可操作性。虽然未来的确切道路尚不清楚,但广泛使用数字身份可能会改变数字生态系统参与者与消费者及其数据的互动方式。
在本数据博客系列的第2部分中,我们将讨论战略的支柱2和支柱5,以及它们预示着政府在网络安全方面的公私伙伴关系和国际合作立场。
* * *
要订阅我们的数据博客,请点击在这里。
本文的封面由DALL-E制作。
