一项至关重要的网络安全法还有几十个国会工作日就要到期了,这让忧心忡忡的分析家们担心,支撑私营部门信息共享的美国联邦法规可能会过期–或者在没有改进的情况下匆忙续期。
《2015 年网络安全信息共享法案》(Cybersecurity Information Sharing Act of 2015,又称 CISA 2015)将于 9 月 30 日到期,不要与美国的网络机构混淆。该法得到了两党的广泛支持和私营部门的大力支持,负责更新该法的众议院委员会主席称重新授权该法是 “今年的首要任务”。
公共部门网络安全和信息共享分析师认为,这并不意味着该法律是完美的–远非如此。他们说,该法需要更新,需要更有力的定义、更广泛的责任保护和更明确的指导,以在不断变化的威胁中提高防御能力。专家警告说,这可能会严重损害政府对关键基础设施的可见性,并削弱公私共享协议。
在从今天起至 9 月底的 99 个日历日中,众议院将举行 27 天的会议,参议院将举行 37 天的会议。在此期间,国会还必须批准开支法案,以维持联邦政府的正常运转,并处理特朗普政府提出的 “一项美丽法案”(One Beautiful Bill Act)和解提案。时间紧迫。
网络安全政策中心(Center for Cybersecurity Policy)执行主任阿里-施瓦茨(Ari Schwartz)说,《2015 年信息安全法案》失效的最大短期影响是,许多私营部门实体需要重新评估过去十年来形成的信息共享协议的法律依据。许多组织在很大程度上依赖于该法,如果没有该法,可能需要停止信息共享,直到起草新的协议–其中一些协议可能会限制未来可以共享的范围。
“奥巴马白宫前网络安全高级官员施瓦茨说:”其中一些实体将不得不完全停止共享信息。“这样的结果显然会降低我们的安全性”。
CISA 2015 的责任保护、隐私保障和集中报告机制通过降低法律风险和正式确定实时协作框架,在过去十年中帮助改善了信息共享。但网络安全并没有在这十年中停滞不前。在最近一次众议院国土安全网络小组委员会听证会上,技术政策和网络安全专家呼吁更新关键定义、扩大责任保护范围并加强法律安全港,重点讨论法律如何继续为私营部门服务。
专家小组成员指出,过时的语言限制了该法在应对人工智能操纵、部署前软件篡改以及对操作技术和物联网设备等非传统目标的攻击等新兴威胁方面的作用。
帮助起草 2015 年最初法律的前众议院工作人员戴安娜-里纳尔多(Diane Rinaldo)说,国会应该 “扩大和明确责任保护,鼓励公共和私营部门之间更广泛地共享信息”。信息技术产业委员会(Information Technology Industry Council)负责信任、数据和技术政策的高级副总裁约翰-米勒(John Miller)敦促立法者更新 “网络威胁指标 ”和 “网络安全威胁 ”等关键定义,以更好地反映现代风险,包括对机器学习模型、被破坏的软件供应链以及物联网和 OT 系统等非传统设备的攻击。
如果网络小组委员会选择对该法案进行全面修订,那么重新授权可能会在几个潜在障碍中停滞不前,包括将人工智能和供应链更新捆绑在一起的努力可能会使投票复杂化,以及隐私权倡导者的反对、会议日程安排障碍和其他程序性延误。如果法案缺乏加强跨部门信息共享所需的最新保障措施,立法者可能会抵制彻底更新法案。
近期公共部门网络安全团队的削减、严重的网络人才缺口以及联邦信息共享合作的进一步中断,都可能进一步加剧该法案的失效。
网络威胁联盟(Cyber Threat Alliance)总裁兼首席执行官迈克尔-丹尼尔(Michael Daniel)说,如果该法失效,可能会给各组织如何共享网络威胁数据带来广泛的不确定性,并大大增加与共享相关的法律和后勤负担。
“丹尼尔说:”我们可能会因为企业过于谨慎而失去在整个生态系统中及时共享重大威胁行为者信息的能力。
发表评论
您还未登录,请先登录。
登录