基礎設施法案通過后美國國會還有哪些網絡安全動作
責編:gltian |2021-11-15 14:54:08
剛通過的基礎設施法案包含19億美元的網絡安全預算,更多資金將隨“重建更美好未來”(Build Better World)等其他議案的通過不斷涌入網絡安全領域。
11月5日,美國國會通過了拜登簽署的萬億《基礎設施投資和就業法案》。這項具有里程碑意義的法案不僅有望大規模升級美國的老舊基礎設施,還將增加19億美元的政府網絡安全支出。
法案中包含一項10億美元的撥款計劃,用于幫助美國各州、地方、部落和屬地政府免遭惡意黑客攻擊,以及現代化各個系統以保護敏感數據、信息和公共關鍵基礎設施。從2022財年開始的四年內,在美國網絡安全與基礎設施安全局 (CISA)作為行業專家的指導下,負責運營美國國土安全部(DHS)現有撥款計劃的美國聯邦應急管理局(FEMA)將陸續提供這筆資金。
該法案還納入了《2021年網絡響應與恢復法》,授權在五年時間里撥款1億美元用于幫助美國政府快速響應網絡安全入侵事件。另一項值得一提的舉措,是為新設立的美國國家網絡總監(NCD)辦公室撥款2100萬美元,用于聘用合格人員支持其基本網絡安全任務。而若公共供水系統因受網絡攻擊影響而降級或不可用,則該法案還要求美國環境保護局(EPA)和網絡安全與基礎設施安全局 (CISA)判定此情況是否會嚴重影響公眾健康與安全。
在基礎設施法案等待總統簽署之際,拜登支持的另一項重要立法——面向社會支出的1700頁Build Back Better議案,有望進一步增加網絡安全支出。該議案包含撥給CISA的至少5億美元網絡安全資金,其中1億美元用于保護不被視為“國家安全系統”的聯邦民用系統。
Build Back Better議案還包括用于云安全的5000萬美元、用于工業控制系統(ICS)安全的5000萬美元,以及用于支持州、地方和部落政府遷移到.gov域名的2000萬美元。然而,由于認為該議案在擴大社會安全網方面走得太遠,兩名參議員強烈反對通過該議案,揚言要破壞該議案通過,因此該議案是否能獲得通過的前景尚不明朗。
僅一項其他網絡安全議案得以立法
除了以上重要立法,自上次國會換血以來,美國國會一直忙于討論各項網絡安全議案。總的來說,今年1月美國第117屆國會宣誓就職以來,已經提出了321項完全或部分涉及網絡安全的議案。
在這些議案中,只有一項網絡安全議案,即2021年K-12網絡安全議案,獲批立法。這項議案由參議員Gary Peters(密歇根州民主黨)提出并由拜登總統于10月8日簽署,要求CISA“研究中小學面臨的網絡安全風險并給出建議措施,其中包括旨在幫助學校應對這些風險的網絡安全指南”。
值得關注的其他網絡安全議案
自7月下旬以來,立法者提出了大約70項涉及網絡安全的新議案。其中值得密切關注的有以下幾項:
H.R. 5186,《 網絡安全與基礎設施安全局領導法案》(CISA Leadership Act)。該議案由眾議員Andrew Garbarin(紐約州共和黨)發起,旨在防止CISA陷入動蕩(特朗普曾因要重申總統選舉安全性而解雇其首任局長克里斯·克雷布斯(Chris Krebs))。這項擬議法案規定CISA局長職位的任期為五年,并重申該職位應由總統提名并經參議院批準。
S. 2875,《2021年網絡事件報告法》(Cyber Incident Reporting Act of 2021)。參議員Gary Peters(密蘇里州民主黨)發起了這項議案,旨在設立網絡事件報告時間表,包括要求某些組織在24小時內報告支付勒索軟件贖金的情況。該議案還要求關鍵基礎設施的所有者和運營商在72小時內向CISA報告網絡安全事件。
H.R. 3599,《2021年聯邦網絡勞動力輪崗計劃法案》(Federal Rotational Cyber Workforce Program Act of 2021)。該項議案由眾議員Ro Khanna(加利福尼亞州民主黨)發起,并于9月30日獲得眾議院通過,如今正待參議院批準。該法案旨在建立網絡勞動力輪崗計劃,讓某些聯邦雇員可以切實了解其他機構網絡勞動力輪崗職位的工作。
S. 2902,《2021年聯邦信息安全現代化法案》(Federal Information Security Modernization Act of 2021)。參議員Gary Peters(密歇根州民主黨)發起了這項立法,鑒于今年早些時候發生了多起網絡攻擊,該立法旨在改善美國聯邦網絡安全。此外,該法案明確了CISA在網絡安全事件響應的作用,并要求聯邦機構向CISA和國會報告重大攻擊,確保CISA是網絡安全事件響應工作的牽頭機構。
H.R.3919,《安全設備法》(Secure Equipment Act)。眾議員Steve Scalise(洛杉磯共和黨)提起了這項議案,眾議院于10月20日以壓倒性多數票通過此議案,并一致同意不經修正便提交給參議院。該法案要求聯邦通信委員會(FCC)制定規則,規定該機構不再審查或批準對隱蔽通信設備或服務清單上設備的任何授權申請。此清單列出了FCC確定為對國家安全或美國公民的安全構成不可接受風險的設備或服務。
H.R.4067,《通信安全、可靠性和互操作性委員會法案》(Communications Security, Reliability, and Interoperability Council Act)。該法案由眾議員Elissa Slotkin(密歇根州民主黨)發起,要求FCC永久設立一個委員會,就提高電信網絡的安全性和可靠性提出建議。眾議院于10月20日通過了該法案。
H.R. 4611,《2021年國土安全部軟件供應鏈風險管理法案》( DHS Software Supply Chain Risk Management Act of 2021)。該議案由眾議員Richard Torres(紐約州民主黨)發起,于10月20日在眾議院獲得通過,并為參議院所接受,提交至國土安全與政府事務委員會。議案要求國土安全部管理理事會發布指南,規范與信息和通信技術或服務采購相關的新合同和現有合同。此外,擬議法案要求聯邦承包商向國土安全部提交材料清單和證明,表明材料清單中的每個項目都不存在特定安全漏洞或缺陷,不會影響最終產品或服務的安全。法案還要求通告任何已發現的漏洞或缺陷,并制定緩解、修復或解決任何已發現漏洞或缺陷的計劃。
H.R. 5491,《具有系統重要性的關鍵基礎設施保護法案》(Securing Systemically Important Critical Infrastructure Act)。由眾議員John Katko(紐約州共和黨)發起的這項議案旨在建立一套流程,幫助指定具有系統重要性的關鍵基礎設施(SICI)。法案還進一步指示CISA重視SICI所有者和運營商的實際利益,在不增加額外負擔的情況下加強他們與聯邦政府之間的風險管理協調。
S. 3099,《2021年聯邦安全云改進和就業法案》(Federal Secure Cloud Improvement and Jobs Act of 2021)。該法案由參議員Gary Peters(密歇根州民主黨)發起,旨在將聯邦風險與授權管理計劃(FedRAMP)編入法典,從而幫助各機構加速采用云服務。法案還要求總務署在一年內開始自動化FedRAMP安全評估與審查,并持續監測云計算產品和服務。
H.R. 3462,《小型企業管理局網絡意識法案》(SBA Cyber Awareness Act)。該法案由眾議員Jason Crow(科羅拉多州民主黨)發起,要求小型企業管理局(SBA)發布關于其網絡安全能力的報告,并在網絡安全事件可能危及敏感信息時通知國會。眾議院于11月3日一致通過了該法案。
H.R. 4515,《2021年小型企業發展中心網絡培訓法案》(Small Business Development Center Cyber Training Act of 2021)。該法案由眾議員Andrew Garbarino(紐約州共和黨)發起,要求小型企業管理局(SBA)制定計劃,將至少5%或10%的小型企業發展中心員工培訓合格,向小型企業提供網絡安全規劃援助。眾議院于11月2日通過了該法案。
來源:數世咨詢