你不能没有网络安全关键基础设施现代化

将在美国两党立法优先考虑保护和操作技术?

美国国会议员有前所未有的机会大大提高国家关键基础设施的网络安全态势本周谈判大规模基础设施计划。两党立法旨在国家基础设施现代化转型,世代——但只有重视it和业务的网络安全技术(OT)等设施所依赖的。

不幸的是,许多议员似乎仍不清楚如何ransomware攻击关键基础设施的运营商,如最近黑客的殖民管道和JBS,可以破坏任何这样的现代化的努力。没有明确的、强大的语言解决网络安全,我们相信任何此类立法将功亏一篑。犯罪团伙,外国对手,甚至孤独的黑客已经表明有着浓厚的兴趣目标从携带燃料的管道到肉类工业设施,提供食物和水处理厂提供我们最基本的需求。他们利用的缺陷和OT技术为了实现自己的目标。

白宫和国会议员辩论两党合作的基础设施框架,其范围应考虑“基础设施”网络安全必须优先。任何立法应在基础层面上,需要任何基础设施项目获得资助的基础设施计划,评估其网络安全风险,确定差距和大纲计划解决这些差距通过网络安全风险缓解措施和技术。

例如,如果一个国家想利用资金从立法现代化水处理厂,或直辖市想获得智能城市功能,或电力公司希望部署新技术在其设施,他们必须首先展示他们的网络安全计划。这个不应该是有争议的——为什么花钱升级我们社会的支柱,如果我们要让门开着数字的敌人吗?为什么更新电网能够处理更多的极端天气,只有在它被黑客了?

对关键基础设施网络安全标准

任何基础设施的立法还应该提供如何保护关键基础设施系统的指导方针。安妮Neuberger,白宫副国家安全顾问网络和新兴技术,是在当她喊的必要性基本网络卫生实践在最近的一次备忘录在全国组织

立法者讨论当前包可以看到参议院能源和自然资源委员会的方式指导基础设施运营商。Section 1106的参议院能源和自然资源委员会能源基础设施法案允许能源部长要求接受赠款或资金的法案提交网络安全计划。这样的网络安全计划要求:

• 大纲接收者将如何保持和提高网络安全项目的整个生命周期;

• 证明收件人之间的计划维护网络安全网络,系统,设备,应用程序或组件在建议的解决方案和在外部接口;和

• 表明收件人将利用适用网络安全项目的部门,包括网络脆弱性测试。


1106章还呼吁资金接受者最大化使用开放的指导和标准,包括能源部网络安全能力成熟度模型和国家标准与技术研究院提高关键基础设施网络安全框架。

这些都是优秀的规定和站得住脚的敦促能源部长珍妮弗利用这个权力驱动整个能源领域加强网络安全的结果。同样的规定应适用于国家的其他关键基础设施领域。

我们需要从即将到来的基础设施现代化包,在其核心,很简单:任何组织语言要求提供这些基本服务关注网络安全基础知识——包括网络风险评估、资产管理和漏洞优先级。更少的任何东西都会被疏忽。

我们认识到关键基础设施安全的细节是复杂的和独特的。我们相信这项立法提供了一个至关重要的,常识性的起点,对最后一个基础设施计划在国会工作。虽然我国的电网和其他关键基础设施急需的物理更新,让他们开放的网络攻击是不一个选项。国会必须包括网络安全规定和要求在最后确定基础设施现代化计划。

了解更多

• 零日漏洞在工业控制系统中突出的挑战保护关键基础设施
• 网络安全的关键基础设施:中钢协项目,新的立法可以帮助
• 网络安全的供应链:为什么脆弱性管理是关键