加强美国关键基础设施的网络安全

主要重点

• 网络安全至关重要 ：自拜登总统上任以来，网络安全问题已成为重中之重，特别是在一系列勒索病毒攻击后。
• 政策需要更新 ：最近报告指出，美国目前的网络安全政策已过时，无法应对现代威胁。
• 加强合作 ：报告建议加强CISA（网络安全和基础设施安全局）与其他机构之间的合作，以提高响应效率。

随著拜登总统上任后，网络安全问题成为了当前优先事项。这一局面是在SolarWinds事件之后出现的，并在2021年间，随著ColonialPipeline、食品制造商JBS和IT服务提供商Kaseya等遭受的重大勒索病毒攻击，使保护关键基础设施免受网络威胁迅速成为国家安全的首要问题。

此后，政府加强了与私营部门的合作，并致力于利用新的和现有的监管权限，扩大对不同产业网络攻击的可见性。同时，针对从管理我们水利系统到运输石油和天然气的公司，再到以铁路和航空运输人员与物品的行业，收紧了网络安全协议和保护措施。

然而，最近由网络空间评估委员会2.0 在6月7日发布的一份报告指出，这种“逐步”的且主要是自愿的做法，无法充分保护美国的基本功能和服务，并无法跟上快速变化的数位威胁环境。该报告强调，CISA作为联邦政府在关键基础设施保护方面的主要协调者，并未得到适当的资源支持，无法履行其作为国家风险管理者的角色，也无法向其他机构提供必要的指导。

“联邦政府在过去几十年中一直致力于与私营部门建立稳固的关系。然而，支撑这种公私部门关系的政策已经过时，无法应对当今的需求，”报告在开头中指出，它强调了CISA的角色需要得到加强。

该报告根据前Solarium成员、网络政策专家以及与当前和前任政府官员的访谈进行了分析。报告呼吁强化CISA在关键基础设施的国家风险管理者角色，并增加资源和权限以便各个产业风险管理机构在全国网络安全生态系统中扮演更大的角色。此外，来自行业的受访者表示，他们希望CISA（或其他政府机构）能确保更好的部门间信息共享，让公司只需就特定事件与政府沟通一次。

拜登政府与DHS必须更新“陈旧”的关键基础设施安全策略

报告指出，这种困惑的部分原因在于一系列有关关键基础设施的策略和政策文件，这些文件多年前就未经更新，无法反映当前威胁环境的现实。其中一份文件是《总统政策指令-21》（PPD-21），该文件Outline了联邦政府如何分类和监管其与关键基础设施的关系及其所涵盖的行业。自2013年以来，该文件未经更新，而拜登政府在去年宣布的计划重写可能成为一种新或修订方法的载体，并为将其它行业如商业太空系统和云服务提供商纳入列表铺平道路。

MaryBrooks，威尔森中心的公共政策研究员及报告的其中一位作者，指出，当前形式的PPD-21已经“过时”，不适合目前许多关键基础设施组织面临的现实。此外，长期未更新还妨碍了其他行业风险管理