文章
  • 文章
game java

企业对国会:以行业为主导的网络安全方法可以取得成功

自2012年以来,参议院即将迎来其首次重大网络安全辩论,为消费者数据泄露通知要求和联邦计算机网络安全等问题提供修正的闸门。

在多年的昂贵黑客攻击和令人不寒而栗的网络攻击之后,参议员们迫切需要对网络政策进行权衡。

多数党领袖Mitch McConnell,R-Ky。,尚未公布他的计划,一些参议员要求尽早开始八月休会。

但越来越多的参议员表示,“网络情报与共享法案”(CISA)将于下周出现,并将成为夏季休假前最后一项重要业务。

由参议院情报主席理查德·伯尔(Richard Burr,RN.C。)和排名成员Dianne Feinstein(D-Calif。)制作的信息共享法案的实质内容将受到辩论,特别是它是否能充分保护隐私权和公民自由。

但那只是一个开始。

上周,两党参议员组织宣布,他们将提供一项修正案,解决人事管理办公室的违规行为,给予国土安全部明确,直接的权力,以推动其他机构的网络安全升级。

一些参议员认为他们已经在去年签署的法律中采用了联邦信息安全现代化法案。

“我很高兴看到我的同事们就这样一个重要问题进行了讨论,”D-Del。参议员汤姆卡珀在一份声明中说。 “我的理解是,这项立法试图以国土安全和政府事务委员会去年努力工作的FISMA现代化法案为基础。我期待审议该法案,并与所有提案国合作,改善我们联邦的安全。网络,包括监督我在12月成为法律的FISMA立法的实施。“

参议员Sheldon Whitehouse,DR.I。,希望提出修正案,制定全国消费者违反通知要求,以及另一项加强刑法以打击网络骗子。

可能会试图对行业提出一些强制性的网络安全要求,包括R-Maine的参议员Susan Collins可能要求指定“关键基础设施”部门的公司报告网络违规行为。

但是,与上次参议院进入网络空间时不同,几乎可以肯定的是,不会为行业附加强制性安全绩效标准。

参议院2012年网络安全的主要媒介是柯林斯和当时的森林法案。 Joseph Lieberman包括关键基础设施运营商的安全要求,包括发电厂和天然气管道。

尽管柯林斯出现在该法案上,但它引起了共和党人的强烈反对,他们围绕着参议员约翰麦凯恩(R-Ariz)的另一种选择团结起来。

最终,利伯曼 - 科林斯的议案在地板上受阻,而麦凯恩的选择也因此而死亡。

现在,麦凯恩关于信息共享的提案的一些关键要素重新发挥作用,而为行业制定严格的安全规则的想法已经摆脱桌面。 柯林斯的报告要求提案可能是这场辩论最接近讨论政府对工业的控制。

一个关键原因是什么? 18个月前由国家标准与技术研究所发布的网络安全标准框架已成为政府与行业之间的主要互动点。

这家位于盖瑟斯堡 - 马里兰州的机构在国会山上享有很高的声誉,其框架在商业领域得到了强有力的回应,它渴望证明自愿的,以行业为主导的网络安全方法能够取得成功。

“我认为它将继续扮演主要的组织角色,”一位贸易协会说客说。 “该框架体现了关键的商业安全风险管理原则。这可能是政府在这个领域所做的最好的事情。如果企业对此充满热情,我们只会在这个领域取得成功。”

金融,制造业,能源,运输和许多其他行业部门已将其网络安全政策映射到框架。

NIST的Adam Sedgewick在接受InsideCyber​​security.com采访时表示,“行业比我认为的那样在18个月之前走得更远”。 “他们联系我们并向我们展示他们如何使用该框架。”

NIST还花费大量时间与政府同事讨论该框架的目的及其自愿性质。

一位能源部门消息人士表示,“围绕着监管威胁,人们围绕着自己包围着。” “这不是意图,也没有发生。”

NIST的框架项目经理Matthew Barrett说:“我们向政府人员发出的很多信息 - 无论他们是否是监管者 - 都是强制要求将其从安全运营转移到合规模式。”

即使在行业组织中也存在挥之不去的问题。

一位技术行业消息人士表示,“关于谁在实施框架或如何实施框架的指标尚不明确”。 “我不确定我们是否已经确定了成功的样子。”

根据Barrett的说法,NIST以这种方式提出问题:“这有助于您改善风险管理和安全吗?”

国会去年年底命令政府问责局报告该框架的用途和有效性。 该报告将于年底提交。

目前,大多数立法者似乎对通过增强信息共享等其他工具补充框架驱动的自愿方法感到满意。

参议院的辩论可能会转向任何方向,但部分归功于NIST手工的可信度,它几乎肯定不会陷入旧时的监管辩论中。

Charlie Mitchell是InsideCyber​​security.com的编辑,这是一项涵盖华盛顿内部出版社的网络安全政策的独家服务。