美国网络战略“重新平衡”对行业的网络责任

2023年3月2日，美国拜登政府发布《国家网络安全战略》，希望将捍卫网络安全的责任重新平衡为美国“最有能力和最佳地位的行为者”，并设定强制性的关键基础设施网络安全要求。

美国国家网络安全战略呼吁确保美国的数字未来，并使数字生态系统能够抵御外国对手。

国家网络总监肯巴·沃尔登告诉记者，“总统的战略从根本上重新构想了美国的网络社会契约。”“它将把管理网络风险的责任重新平衡到那些最有能力承受的人身上。今天，在公共和私营部门，我们倾向于向下转移网络风险的责任。

她继续说：“我们要求个人、小企业和地方政府承担捍卫我们所有人的重大负担。”“这不仅不公平，而且无效。我们数字生态系统中最大、最有能力和定位最好的参与者可以而且应该承担更大的责任，以管理网络风险并保护我们所有人的安全。”

该战略没有详细说明政府将如何具体地转移这一“负担”，但它表示，保护数据和确保关键系统是可靠的，需要这些系统的所有者和制造这些系统的技术提供商的责任，这似乎将当地学校系统的IT网络的责任从学校管理员转移到提供能力的大公司。

根据该战略，“行业和政府必须共同推动有效和公平的合作，以纠正市场失灵，最大限度地减少网络事件对社会最弱势群体的伤害，并捍卫我们共享的数字生态系统。”

该战略强调，“我们将利用联邦购买力和赠款来激励安全。”“我们将探索政府如何稳定保险市场免受灾难性风险，以推动更好的网络安全实践，并在灾难性事件发生时提供市场确定性。”

网络和新兴技术副国家安全顾问安妮·纽伯格表示，该战略正处于去年网络威胁演变的关键时刻，无论是俄罗斯执行的勒索软件攻击还是伊朗情报部门攻击阿尔巴尼亚政府网络。

纽伯格说：“在国内，我们对这种威胁并不陌生，这很重要，因为拜登政府的基本承诺是，美国人必须能够有信心，他们可以依赖关键服务——医院、天然气管道、空气供水服务——即使他们成为我们对手的目标。”

该战略建立在五个核心支柱上：通过扩大关键部门的最低网络安全要求来保护关键基础设施；破坏和消除威胁行为者；将更多责任放在那些最有能力降低数字生态系统风险的人身上，并将后果从最弱势群体转移出去；投资于有复原力的未来；以及建立国际伙伴关系。

纽伯格表示，关键基础设施支柱下的工作已经在进行中，该战略编纂了政府前两年为管道和铁路制定最低网络安全要求的工作。

她补充说，预计政府将在未来宣布更多部门，并认识到它需要从仅仅公私伙伴关系信息共享方法转向执行最低任务。

她说：“信息共享和公私伙伴关系不足以应对我们在研究关键基础设施时面临的威胁。”“正如我所说，在前两年，作为拜登政府的核心承诺，我们在执行这一承诺方面取得了重大进展，我们将继续与我们拥有的行政部门当局一起推进，并与国会合作，发展我们可能仍然需要的有限的额外权力。”

一名政府高级官员在背景中表示，与白宫以前的网络战略相比，为关键基础设施设定有针对性的需求是一个“重大转变”。

这位官员说：“这与过去大相径庭。”“另一个转变是看看我们如何看待软件制造商的责任，这在以前的策略中是没有的。我想我要指出的另一件事是重大转变......关于我们如何真正以勒索软件的形式带来所有打击网络犯罪的国家权力工具。因此，该战略旨在将所有这些线索汇集在一起，然后为我们提供前进的方向。”

通用动力信息技术公司网络客户参与副总裁马特·海登认为，作为实施关键基础设施要求的一部分，可能需要“进行一定程度的立法工作，为其中一些机构提供一些权力，这些机构只是需要进行一些调整。”

海登之前曾在网络安全和基础设施安全局以及国土安全部工作，他补充说，虽然美国在对攻击者使用网络攻击工具方面仍将“非常精确”，但它将以过去从未公开利用的方式使用。

一位官员表示，白宫预计将在未来几个月内发布网络战略实施计划的摘要。