近日,美国网络安全与基础设施安全局(CISA)宣布了一项史无前例的,极为严苛的数据安全规定,旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的(科技)企业,特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。
通过这一提案,CISA希望提升相关行业的数据安全标准,防止“重点关注国家”或个体通过技术手段获取美国的关键数据。
14天内必须修补已知漏洞
CISA新规提出了一系列严苛的安全措施,并给出了组织级别和数据级别的具体要求。以下是部分关键措施和要求:
- 资产清单维护:要求每月更新资产清单,包含IP地址和硬件MAC地址。
- 漏洞修补:已知漏洞须在14天内修补;关键漏洞在15天内,高风险漏洞在30天内修复。
- 网络拓扑维护:保持准确的网络拓扑结构,以便于识别并响应潜在的安全事件。
- 多因素认证:对所有关键系统实施多因素认证(MFA),并要求密码长度至少为16位。
- 数据加密和掩码:要求在受限交易中使用加密保护数据,减少数据收集或对数据进行掩码处理,以防止未经授权的访问或与美国个人身份的关联。
- 限制硬件连接:防止未经授权的硬件设备(如USB设备)连接到受限系统。
- 日志收集:收集并保存对网络入侵检测系统(IDS/IPS)、防火墙、数据丢失预防系统(DLP)、VPN和登录事件等相关的安全日志。
此外,CISA还提议使用同态加密或差分隐私等技术,以防止敏感数据被反向重构。
新规波及大量科技企业
该提案与2024年早些时候拜登总统签署的第14117号行政命令紧密相关,旨在解决现存的严重数据安全漏洞。受影响的行业范围广泛,波及大量技术企业,例如人工智能开发商、云服务提供商、电信公司、健康生物科技公司、金融机构以及国防承包商等。
显然,CISA新规“重点关注的国家”,正是美国政府眼中的头号竞争对手——中国。这意味着,随着中美之间的技术和贸易冲突升级,许多在美国运营或与美国企业有合作的中国企业,可能不得不应对更复杂的合规和监管压力。尤其是涉及云计算、人工智能、数据处理和电信设备的行业,CISA的新规使这些企业面临的风险和合规成本将显著增加。
对于中国企业而言,除了在技术合规和数据加密层面进行大规模投资,还需要在跨国业务管理、与美国的合同条款中,重新评估数据传输和存储的安全性,以减少因政策变动带来的业务中断和法律风险。
总结
CISA的新规标志着美国在数据安全领域的重大政策升级。这项新规不仅仅是针对美国企业的内部安全管理提升,也将对与美国有业务关联的全球企业带来深远的影响,尤其针对国家安全的考量使得中国企业面临前所未有的挑战。
为了在中美紧张局势中继续保持业务连续性,中国企业必须加快在数据隐私和安全方面的技术投资,确保合规性,同时评估潜在的跨境业务风险。
