域外观察|美国CSIS发布《投资于联邦网络弹性》报告
一、
背景信息
2023年2月24日,美国战略与国际问题研究中心(CSIS)发布《投资于联邦网络弹性》报告,该报告是“弹性创新:新安全框架”系列研究的组成部分。该系列研究涵盖国际事务多样性和领导力计划、能源安全和气候变化计划、国际安全计划和战略性技术计划,力求在上述领域倡导更广泛的国际合作伙伴关系。
报告强调,网络威胁和漏洞不断变化,很难预测未来的网络安全威胁载体。有效的网络弹性,特别是减少对网络功能的完全依赖,可以有效减轻各种原因导致的损害,因此联邦政府应当加大对弹性基础设施的投资。
二、
主要内容
根据美国国家标准与技术研究院 (NIST)定义,网络弹性是指“使用网络资源或者被网络资源使能的系统在面对不利条件、压力、攻击、损害时所展现出的预测、承受、恢复和适应能力”。一个机构或部门的网络弹性越强,其从网络安全事件中恢复、在恶劣环境下维持运行的能力就越强。报告指出,覆盖经济领域的系统性网络弹性可以使美国更加安全,联邦政府应当优先从下述三个关键领域加强网络弹性建设。
首先,将网络安全视为“风险管理”而非“风险消除”,制定相应的响应计划并确定其优先级。风险管理取决于对两方面的评估:一是突发事件会对关键功能、运行、声誉等产生的最大影响或后果;二是该突发事件发生的可能性,包括威胁因素和安全漏洞。目前,许多围绕网络安全的讨论都集中在第二方面,即对威胁因素和安全漏洞的讨论。报告指出,了解和减轻恶意网络活动的潜在影响和后果同样重要,甚至更为重要,因为这是强化网络弹性的关键。由于网络威胁和漏洞在不断变化,预测未来的网络威胁载体几乎是不可能的,持续性安全评估作用凸显。切实有效的网络弹性,特别是减少对网络功能的完全依赖,可以减轻由各种原因导致的损害。
其次,优化政府机构间职能分配,加大弹性基础设施投资。为了网络弹性的长期性和有效性,联邦政府应当继续协调网络安全和基础设施安全局(CISA)、国家网络总监办公室(ONCD)这两大关键政府部门之间的职能协作,避免将网络安全监管职能集中于一个政府部门。还应当联合证券交易委员会(SEC)和联邦贸易委员会(FTC)等政府机构,在各自领域作出提升网络弹性的监管努力,切实保证对网络风险的综合打击力度和多样化处置能力。此外,联邦政府还应当加大对弹性基础设施的投资。根据拜登总统2021年5月签署的《改善国家网络安全的行政令》,联邦各政府机构必须过渡到“零信任架构”(ZTA)以增加网络弹性,这是在有限预算和时间限制下对流程和技术的严峻考验。报告认为,一些弹性基础设施造价高昂且短期收益较小,探索其他非技术性的替代性解决方案也同样重要。
最后,加强公私部门合作,建立联合协作环境,优化人才队伍建设。由于大多数关键基础设施由私营机构、市政当局持有和运营,联邦政府应当与州和地方政府、准政府组织、私营部门加强有效合作,扮演好召集人、推动者和支持者角色,推动CISA的“联合网络防御协作行动”(JCDC)从信息共享升级为操作协同,建立联合协作环境,完善应对计划与后果处置分析。近期颁布的《2022年关键基础设施网络事件报告法》(CIRCIA)突破了自愿性信息共享,要求CISA制定配套实施的网络事件报告法规,完善网络风险评估和网络弹性建设。此外,联邦政府还应当在开展公私部门联合安全演习和应急演练、培养具有持续作战能力的人才队伍、招揽网络安全多样化特殊人才等方面作出持续努力。
总体而言,增强网络弹性和关键基础设施保护是美国政府近年来持续关注的重要议题,并为此出台了众多法律和政策文件。随着数字化转型的不断推进,网络空间中的系统安全与网络弹性愈发重要,建议我国持续关注。
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用