美国联邦政府前首席信息安全官Grant Schneider说,“随着在乌克兰发生的一切,我认为人们有更多的动机通过一些立法。任何人都很难对特定条款的细微差别掉以轻心。”
Schneider现在是Venable律师事务所网络安全服务的高级主管,他对美国众议院通过《加强美国网络安全法案》的举措发表了评论。美国参议院在3月1日一致通过了该法案。
美国参议院通过的立法结合了三项先前以类似形式通过美国众议院或正在这样做的法案。
该法案中最值得关注的条款是,要求私营部门关键基础设施实体在72小时内向网络安全和基础设施安全局报告遭遇网络安全事件,其中包括勒索软件攻击。这些实体在支付勒索软件赎金之前必须在24小时内报告。议员们表示,美国众议院在去年通过了一项类似的法案,但由于时间限制,美国参议院未能完全实现他们的目标。美国联邦调查局也表达了对该法案将他们排除在事件报告之外的担忧。
《加强美国网络安全法案》还包括编纂和资助美国总务管理局计划的规定,以通过独立的第三方审计来证明美国政府云计算服务提供商的安全性。根据2019年美国政府问责办公室(GSA)的报告,大多数机构在与云计算供应商签订合同之前,通常没有通过美国政府问责办公室(GSA)的联邦风险授权管理计划(FedRAMP)。美国众议院已经多次通过类似措辞的FedRAMP编纂立法。
最后,美国参议院日前通过的法案包括更新2014年《联邦信息安全现代化法案》的冗长条款。其中大部分条款——包括为报告目的重新定义“重大事件”的条款,这都反映在纽约州民主党众议员Carolyn Maloney最近在美国众议院提出的立法中,虽然有一些显著的差异。
美国众议院法案要求承认联邦首席信息安全官的权威,并要求该官员有权制定机构的网络安全预算。来自美国国土安全和政府事务委员会的参议院法案并没有提到这一点,而联邦首席信息安全官仍在美国管理和预算办公室(OMB)之外运作。
Maloney对在联邦网络中存在风险特别警惕。她说,“我对美国参议院通过了《加强美国网络安全法案》表示祝贺,其中包含《联邦信息安全现代化法案》——这是我们的首要立法优先事项之一。”
她补充说:“美国监督和改革委员会于2022年开始了两党听证会,以研究如何最好地实现《联邦信息安全现代化法案》(FISMA)的现代化,我们期待着在这项工作通过立法程序的过程中吸取这些重要的经验教训。《联邦信息安全现代化法案》(FISMA)的改革将决定我们未来几年的联邦网络安全态势,最终法案必须抓住每一个机会来保护联邦网络免受每天面临网络攻击的影响。我们共同致力于实现这一目标,并确信我们很快就会成功地将这项法案提交给总统。”