2023 年 12 月 15 日,美國證券交易委員會 (SEC) 擴充套件了其網路安全規則——《上市公司網路安全風險管理、戰略、治理和事件披露規則》,要求上市公司在四個工作日內披露事件。這意味著備受矚目的網路安全漏洞將比任何資料洩露產生更大的後果。 美國證券交易委員會的規則只是美國網路安全合規監管變化的冰山一角。
美國聯邦**正在悄悄地引領經濟領域的變革——要求所有16個關鍵基礎設施部門嚴格遵守網路安全法規。 然而,此事並沒有被炒作,並且在很大程度上沒有被**、機構投資者或其他任何人注意到。
其他資訊:美國確定的16個關鍵基礎設施部門美國網路安全和基礎設施安全域性 (CISA) 列出了:16個此類部門被認為對安全至關重要,包括:化學工業、商業設施、通訊、關鍵製造業部門、大壩部門、國防工業基地部門、應急服務部門、能源部門、金融服務部門、食品和農業部門、**設施部門、醫療保健和公共衛生部門、資訊科技部門、核反應堆、材料和廢物部門、運輸系統部門、水和廢水處理部門等
這些行業包括知名且等級森嚴的市場,例如分別受美國國防部 (DOD)、證券交易委員會 (SEC) 和能源部 (DOE) 監管的市場國防工業、金融服務和能源。然而,這 16 個行業以下的子行業,基本上涵蓋了經濟活動中幾乎所有的公司及其業務組成部分,往往被忽視,聯邦政府正在以越來越快的速度引入新的網路安全合規法規,將幾乎所有型別的業務都置於其監管範圍之下。 以“商業設施”為例,它包括房地產、零售、體育聯盟和娛樂場所等八個子行業。 網路安全法規和強制性最低網路安全要求無處可藏
網路安全要求遍及各行各業
雖然有些人認為美國已經擴大了其權力並超越了其在網路安全方面的作用,但很明顯為什麼這些法規來得如此之快——美國將俄羅斯和中國視為對其的巨大網路威脅。
隨著 2022 年 5 月白宮的簽署改善國家網路安全的行政命令(關於改善國家網路安全的行政命令),網路安全革命正在公升溫,並以超越國界的運動的形式展開。 十幾個國家在網路安全問題上與美國採取了聯合行動,體現了思想的匯合和追隨美國腳步的意願。
擴充套件材料:美國和盟國在網路安全方面的聯合行動美國網路安全和基礎設施安全域性(CISA)與17個美國機構及其國際合作夥伴一起發布了《改變網路安全風險的平衡:通過設計軟體實現安全的原則和方法》的更新版本,其中包括有關關鍵原則和指南的更多細節,並由另外八個國際網路安全機構共同簽署。
簽署國和機構包括:CISA、聯邦調查局 (FBI)、國家安全域性 (NSA),以及澳大利亞、加拿大、英國、德國、荷蘭和紐西蘭、捷克共和國、以色列、新加坡、南韓、挪威、美洲國家組織 Cicte Csirtamericas 網路、日本網路安全域性等。
白宮的行政命令所有聯邦承包商都需要強制性基準標準替換當前不一致且拼湊的特定於機構的政策。 各部門和機構並沒有等待這一天的到來,他們正在瘋狂地發布自己的監管要求。
美國國防部承包商已採用《國防聯邦採購條例補充》(DFRS) 和即將推出的網路安全成熟度模型認證 (CMMC)20 計畫要求這樣做。 在幾年內,國防工作以外的承包商也可能被要求滿足強制性的最低網路安全要求,作為獲得任何聯邦合同的先決條件。
我們已經看到:
美國運輸安全管理局 (TSA) 對機場和飛機運營商發布了新要求;
美國國土安全部 (DHS) 頒布了一項法案,以保護“受控非機密資訊”(CUI);
美國環境保護署 (EPA) 旨在保護水務部門
以及 2022 年關鍵基礎設施網路事件報告法案 (CIRCIA)。
美國正在朝著一種新興的網路安全合規範式邁進,隨著欺詐性網路安全索賠受到司法審查,連鎖反應正在法律走廊中產生共鳴。 適當的安全控制將不再是一種“選擇”,而是法律和經濟上的“必須”,標誌著數字彈性和加強經濟結構的新時代。
美國正在拉動所有監管槓桿:建立標準,起訴,鼓勵舉報......
美國**正在利用所有可用的監管槓桿制定並執行整個經濟網路安全的強制性最低標準,就像安全帶、安全氣囊和其他安全功能必須安裝在汽車中一樣。
這種潛在的監管擴張並不侷限於美國邊境——加拿大最近採用了美國網路安全成熟度模型(CMMC)作為其國防工業基地,日本還將要求承包商遵守美國的網路安全法規。
滿足強制性網路安全最低標準的壓力不僅僅是贏得美國聯邦**合同。 美國司法部正在積極使用《虛假申報法》(FCA)來追蹤承包商與網路安全相關的欺詐行為。 隨著舉報員工挺身而出索取鉅額獎勵,相關案件開始堆積如山。
2022 年 10 月,賓夕法尼亞州立大學被一名前首席資訊官 (CIO) 起訴,指控其未能保護“受控非機密資訊”(CUI) 並故意提交虛假的安全合規報告。 此案仍在審理中,但結果是有先例的——去年7月,Aerojet Rocketdyne同意支付900萬美元來解決類似的案件。 2022 年,被告在《虛假申報法》和解和判決中支付了超過 22 億美元的罰款或和解金,其中超過 17 億美元與醫療保健行業有關。
擴充套件材料:美國賓夕法尼亞州立大學案例2021 年 10 月,美國司法部 (DOJ) 啟動了民事網路欺詐計畫使用《虛假申報法案》(FCA) 強制執行美國聯邦承包商和贈款接受者要求的網路安全標準。重要的是,FCA包括乙個舉報人條款,允許私人團體識別欺詐行為並分享賠償。 賓夕法尼亞州立大學的調查是美國司法部在 2022 年實施該計畫的結果之一。
根據美國司法部的說法,該計畫針對的是那些通過提供有缺陷的網路安全產品或服務、歪曲網路安全實踐或協議以及違反監控和報告網路安全事件和違規行為的義務來違反意圖的人。 其中,受控非機密資訊 (CUI) 合規性是強制執行的優先領域
根據《國防聯邦採購條例補充》(DFARS)第252條。204-7012 要求國防部承包商提供“足夠的安全性”來保護 CUI,其中至少包括實施美國國家標準與技術研究院 (NIST) 特別出版物 (SP) 800-171 中規定的安全控制措施。 賓夕法尼亞州立大學的前首席資訊官聲稱,該大學故意準備了乙份不準確的基本評估,以淡化該大學內部調查結果對涉嫌違反CUI的影響,然後將其提交給國防部,以保持獲得合同的資格。
為了進一步加強執行這些法規的決心,美國**已開始起訴個別公司和員工,因為他們在網路漏洞方面誤導和欺騙了投資者,就像它對Solarwinds及其前安全副總裁蒂姆·布朗(Tim Brown)所做的那樣。
美國經濟的每個部門都面臨著加強數字防禦的變革性任務。 安全態勢已從最高階因素演變為影響底線的關鍵因素。 這不僅是政策的改變,也是正規化的轉變,因此網路安全合規成為法律上的必要條件和優先事項,因為它的影響比以往任何時候都更加深遠。
作者:埃里克·努南他曾在美國情報局任職,目前是美國網路安全公司CyberSheath的首席執行官。
免責宣告撰寫本文所需的資訊均來自法律和公共來源,我們無法對資訊的真實性、完整性和準確性提供任何形式的保證。 本文僅以共享和交換資訊為目的,不構成任何企業、組織或個人的決策依據。