美國聯邦政府已明確且有意義地承諾通過國家網路安全戰略(National Cybersecurity Strategy),在關鍵部門擴大採用強制性最低網路安全要求。聯邦政府現在已公開表示,缺乏強制性的網路安全最低標準已經失效,監管命令即將實施。
該戰略明確表示,政府將與國會合作,以彌補政府沒有權力強制執行最低標準的情況下所出現的缺口,並監管未受監管的領域。該戰略要求聯邦機構,如國防部(Department of Defense,DOD)、證券交易委員會(Securities and Exchange Commission,SEC)、聯邦通訊委員會(Federal Communications Commission,FCC)等聯邦機構充分利用其監管權力,建立和執行強制性的最低資訊安全要求,並在其各自的承包商和供應商中實施這些要求。如果這成為現實,檢測和防禦網路威脅的能力將發生翻天覆地的變化。該戰略實現了強制性最低資訊安全要求的建立和執行。
眾所皆知,聯邦政府及其龐大的承包商供應鏈目前的策略無法預防和對抗國家級別的攻擊。與俄羅斯情報機構有關的 SolarWinds 駭客攻擊,是歷史上最複雜的駭客攻擊之一,使美國政府最高級別安全組織的資訊被盜。這次入侵和過去十幾年的資料外洩,似乎迫使拜登政府承認聯邦政府作為監管機構的責任。這肯定了強制性資訊安全最低標準,以及聯邦政府在建立這些標準中所扮演的角色。最近的入侵以更具體的方式影響到美國人,包括對 Dole Food Company 的勒索軟體攻擊,導致整個美洲大陸生產工作停擺, 這讓人聯想到之前JBS 食品公司攻擊,也影響了消費者的購物體驗。網路攻擊對現實世界帶來的衝擊只會越來越大。
資訊安全複雜多變,但缺乏規範使其變得更加困難。如果不建立和執行強制性最低資訊安全要求,安全漏洞事件將習以為常地不斷發生。值得慶幸的是,聯邦政府終於重新評估了不採取行動所帶來的代價。
為了充分實現此策略的所有優點,執法必須遵循法規的規定。強制執行的法規監管將確保企業對其網路安全措施負責,並且不斷更新協議以應對新威脅。這種轉變使美國在安全問題上變得主動積極,而不是被動反應。隨著強制性最低網路安全標準的建立和實施即將到來,美國有望取得勝利。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:ERIC NOONAN(2023). With the White House’s strategy, the key to improving cybersecurity is finally here,THE HALL. 檢自:https://thehill.com/opinion/cybersecurity/3897608-with-the-white-houses-strategy-the-key-to-improving-cybersecurity-is-finally-here/ (Mar. 13, 2023)
