多数网络安全新法案都得到了两党支持,法案的出台将推动网络安全资金投入、数据泄露风险减小、加密货币调查等。六个月前,一系列令人震惊的网络安全事件推动拜登政府迅速采取行动,这也促使国会提出新的网络安全法案。
在两个多月里,CSO也报告了美国国会繁忙的网络安全议程,立法者已经提出了至少18项额外的法案来支持国家的网络安全能力。
一个迹象表明网络安全正成为越来越高的立法优先事项,国会对一系列信息安全问题的兴趣也水涨船高。仅上周,众议院能源和商务委员会就投票通过了六项主要涉及数字安全的法案和另外两项包含重要网络安全条款的法案。
数据泄露通知法案出现
上周,参议院情报特别委员会主席马克·R·华纳参议员(D-VA)、委员会副主席马可·卢比奥参议员(R-FL)和苏珊·柯林斯参议员(R-ME)以及该委员会的另一高级成员提出了2021 年网络安全事件通知法。该法案将“要求联邦政府机构、联邦承包商和关键基础设施运营商通知国土安全部 (DHS) 网络安全和基础设施安全局 ( CISA )当检测到数据泄露行为时,美国政府就可以动员起来保护全国的关键行业。”
该法案进一步授予提出数据泄露报告组织的法律豁免权。此外,它还要求CISA“实施数据保护程序,以匿名化个人身份信息并保护隐私。”
该立法填补了许多网络安全专业人士所说的网络安全事件指标空白。因为在少数关键基础设施部门之外,数据泄露报告要求不一致,这使得政府难以在攻击发生时利用其资源抵御攻击或在攻击发生后收集经验教训。
华纳在宣布网络事件法案时说:“我们不应该依靠自觉报告来保护我们的关键基础设施,我们需要一个例行的联邦标准,这样当我们的重要部门受到数据泄露事件影响时,联邦政府的全部资源就可以被调动起来应对并避免受其影响。”
网络安全资金增加出现在授权法案中
上周还看到参议院军事委员会通过了2022年国防授权法案,该法案要求大幅增加网络安全预算和提高对国防部门的要求。其中,国防部网络安全预算增加了2.684 亿美元。
该授权法案还赋予网络司令部负责人“直接控制和管理维持网络任务部队资源的规划、编程、预算和执行的责任”。此外,该法案要求国防部评估防御网络攻击所需的条件,并进行试点研究,检查与互联网生态系统公司合作的可行性,以此来发现和阻止黑客入侵其平台、系统和基础设施。
众议院拨款委员会于6月29日发布2022 财年国土安全资金法案草案,在那之后,才提出五角大楼增加网络安全资金。该法案要求CISA的预算比财政年度增加16%,即 3.974 亿美元,比要求的金额增加2.887亿美元。
探索加密货币在勒索软件中的作用
上周,国土安全和政府事务委员会主席、参议员加里·彼得斯 (D-RI)宣布,他将启动“调查加密货币在鼓励和激励网络犯罪分子实施勒索软件攻击方面,持续发挥的作用以及对美国国家安全构成的威胁。”彼得斯的调查还将着眼于“联邦监管机构和立法者如何努力破坏的犯罪动机以及如何换取加密货币。”
16项额外法案涵盖所有网络安全问题
除了华纳的数据泄露通知法案和参议员 Kirsten Gillibrand (D-NY) 重新提出的2021年数据保护法案,国会还将创建一个新的联邦机构来保护美国人的数据。此外,自5月底以来,他们还引入了至少16项其他新的网络安全法案。这些法案从寻求提高网络安全素养的手段到可能影响国家通信基础设施的监管要求都有涉及,具体法案如下:
R.3919,2021年安全设备法,由众议员史蒂夫斯卡利斯(R-LA)提案。该法案要求联邦通信委员会 (FCC) 制定规则,规定它将不再审查或批准涵盖的通信设备或服务清单上的设备的任何授权申请。(列出的通信设备或服务是FCC确定对国家安全或美国人的安全和安全构成不可接受风险的设备或服务。) R.2685,了解移动网络安全风险法案,由众议员Anna G. Eshoo (D-CA)提案。该法案要求美国国家电信和信息管理局 (NTIA) 检查并报告移动服务网络的网络安全以及这些网络和移动设备对对手进行的网络攻击和监视漏洞。 R.2931,通过公私合作法增强电网安全法案,由众议员Jerry McNerney (D-CA) 提案。该法案指示能源部 (DOE) 实施一项计划,促进和鼓励公私合作伙伴关系,解决和减轻电力公司的物理安全和网络安全风险。参议院于7月20日收到了该法案。 R.4028,信息和通信技术战略法案,由众议员Billy Long (R-MO) 提案。该法案要求商务部长报告并制定与信息和通信技术供应链的经济竞争力和其他目的有关的整体政府战略。 R.4046,NTIA政策和网络安全协调法案,由众议员Jeff Duncan (R-SC) 提案。该法案修订了《国家电信和信息管理组织法》,以在NTIA设立政策制定和网络安全办公室。 R.4055,美国网络安全素养法案,由众议员Adam Kinzinger (R-IL) 提案。根据该法案,通信和信息部部长助理应开展网络安全扫盲运动,以提高美国人民对降低网络安全风险最佳实践的知识和意识。 R.4067,2021年通信安全咨询法案,由众议员Elissa Slotkin (D-MI) 提案。该法案指示联邦通信委员会成立一个委员会,就提高通信网络的安全性、可靠性和互操作性提出建议。 S.2199,网络感知法案,由参议员Jacky Rosen (D-NV) 提案。该法案要求能源部长建立一个自愿网络感知计划,测试大容量电力系统产品和技术的网络安全。 S.1324,民用网络安全储备法,由参议员 Jacky Rosen (D-NV) 提案。该法案建立了一个民用网络安全储备,作为试点项目满足美国在国家安全和其他方面的网络安全需求。 S.2139,国际网络犯罪预防法,由参议员谢尔顿怀特豪斯 (D-RI) 提案。该法案修改了美国法典第18章,防止国际网络犯罪和其他目的。 S.2201,2021年供应链安全培训法案,由参议员 Gary Peters (D-MI) 提案。该法案通过反间谍培训来管理供应链风险。 S.2269,保护美国电力基础设施法案,由参议员Rick Scott (R-FL) 提案。该法案旨在保护美国的大容量电力系统。 S.2274,联邦网络安全劳动力扩张法案,由参议员 Maggie Hassan (D-NH) 提案。该法案授权网络安全和基础设施安全局局长建立学徒计划,并为退伍军人和过渡到平民生活的武装部队成员建立网络安全培训试点计划。 S.2292,网络攻击响应选项法研究,由参议员史蒂夫·戴恩斯 (R-MT) 提案。该法案要求国土安全部部长研究修改《计算机欺诈和滥用法案》的优势和潜在风险,允许私营公司对非法网络入侵采取相应的行动。 S.2305,网络安全机会法案,由参议员乔恩·奥索夫 (D-GA) 提案。该法案旨在通过国土安全部拨款以加强网络安全教育。 S.2439,一项修订2002年国土安全法案的法案,规定网络安全和基础设施安全局有责任保持对工业控制系统威胁的识别能力。由参议员Gary Peters (D-MI) 提案。该法案修订了 2002年的《国土安全法》,规定CISA有责任维持识别工业控制系统威胁的能力