《NIST小企業網絡安全法》生效 自愿采用或成痛點
責編:gltian |2018-08-24 13:05:582018年8月14日,美國總統特朗普簽署《NIST小企業網絡安全法》S. 770(之前的《百姓網絡安全法)。該法律要求NIST簡明扼要地傳播網絡安全資源,幫助那些憂心其網絡安全風險識別、評估與緩解的小企業。
NIST需提供的資源是信息類的,必須適用于廣大小型企業;適應各類小型企業的不同性質和規模;促進網絡安全意識和工作場所網絡安全文化發展;且要包含實用性的應用策略。這些資源必須技術無關,與現行商用解決方案兼容,盡可能地符合國際標準和1980年的《斯蒂文森技術創新法案》。小型企業自愿采用這些資源,非強制性的。
該兩黨法案由夏威夷民主黨參議員 Brian Schatz 和愛達荷州共和黨參議員? James Risch 聯合撰寫,并受到多州兩黨參議員的共同支持。
作為商務委員會分管通信技術、創新和互聯網的民主黨議員,Ssahtz在聲明中稱:“隨著公司企業越來越多地依靠互聯網提升運營效率和吸引客戶,他們仍將容易遭受網絡攻擊。但大公司擁有保護自身的資源,而小企業沒有,所以小企業便成為了黑客眼中容易得手的目標。這項新的法律將賦予小型企業強化其網絡安全基礎設施并對抗網絡攻擊的工具。”
安全行業對該法案持歡迎態度。
SiteLock研究團隊成員 Jessica Ortega 解釋稱:“關注小企業網絡安全需求的法案,對保護美國經濟重要活動而言十分有必要。小型企業占了美國用工雇主的99.7%(美國小企業管理局(SBA)數據),其中50%之多(美國全國廣播公司財經頻道(CNBC)數據)遭受過網絡攻擊。網站平均每天遭受50次攻擊一點都不奇怪(SiteLock自己的數據)。”
《NIST小企業網絡安全法》旨在通過創建一套易于遵從和實現的基本安全措施指南,為小企業提供網絡防御資源。該法案還要求公司培訓和職場文化中要納入安全最佳實踐,這在網絡威脅持續進化的態勢下是非常必要的。
小企業和很多大公司都在艱難地遵從現有的NIST安全框架。新法律的出臺為之前認為NIST合規成本太高操作太復雜的小企業設置了更寬廣的合規和準備空間。網絡安全的基本問題是,小企業自己負擔不起廣泛的網絡安全資源,而且很多小企業依然覺得自己不是網絡攻擊者的目標。然而,小企業并不能免疫威脅,還常常缺乏保護自身網絡所需的IT資源和人手。商業電郵入侵(BEC)和勒索軟件就常常直接找上小企業,而作為大公司供應鏈的一部分,小企業也往往是憑證盜竊和跳板策略的目標。與人們直覺相反的是,成功網絡攻擊對小企業的影響甚至比對大公司的還大。事實上,最近的報道顯示,因為經常淪為網絡攻擊的目標,且缺乏彈性基礎設施以從攻擊中恢復,小企業遭受網絡攻擊所產生的損失從比例上看會更高。
另外,小企業用較低的薪水雇傭兼職灰帽子的網絡安全人員,增加了內部人威脅的概率。
雖然安全界普遍歡迎該新法案,但有一個重大缺點不容忽視——小企業是自愿使用該新NIST資源,不是強制使用。
我很好奇這個計劃怎么執行。很多小企業都忽視了網絡安全,因為他們沒意識到,也不理解網絡安全風險。所以,他們甚至都不會去找解決方案。于是,既然他們現在都沒去找解決方案,又怎么會去尋求這些新的NIST資源呢?
該法案似乎沒規定怎么聯系或鼓勵小企業應用安全資源,只要求NIST以指南、方法學和其他在線信息的形式提供這些資源。如果不以更主動的方式讓小企業參與進來,他們很可能錯失這一機會而依然暴露在風險之中。焦慮的CISO們經常抱怨,“只要不是規定,基本沒人遵守”。或許,下一步計劃就是推出一個能被審計的小企業網絡安全框架。這樣一來,大公司就能要求合作的小企業必須遵從該NIST小企業網絡安全框架了。不過,即便這樣也會產生一些問題。有絕佳新創意的小企業還會繼續以發展創意為優先而無視固有安全,而大公司不得不在不合規范的絕佳新創意和合乎規范的較老解決方案之間選擇。對希望改善自身網絡安全的小企業而言,該新法案是個很好的助力。但如果只是基于自愿而沒有強制要求,那這個新法案未必能大幅提升整體網絡安全態勢。