GAO报告:赛博安全——联邦迫切需要采取行动来更好地保护国家关键基础设施
2021年12月2日,美国国会政府问责局(GAO)网站发布报告,题为《赛博安全——联邦迫切需要采取行动来更好地保护国家关键基础设施》。报告要点如下:
最近发生的事件(包括对美国重要燃料管道的勒索软件攻击)表明,需要加强国家关键基础设施的赛博安全。
我们在证词中认为,联邦政府需要制定和执行全面的国家赛博战略,并加强其在保护关键基础设施赛博安全方面的作用。确保国家的赛博安全在我们的“高风险清单”上,而我们已敦促联邦机构对此采取行动。
如果联邦政府没有更加紧急地采取行动,我们国家关键基础设施的安全将处于危险之中。
研究目的
联邦机构和国家的关键基础设施(如运输系统、能源、通信和金融服务)都依赖信息技术系统来开展业务。这些系统及其使用的数据的安全性对于公众信心和国家安全、繁荣和福祉至关重要。
GAO于1997年首次将信息安全指定为政府范围内的高风险领域。之后扩大到包括保护:(1)赛博关键基础设施(2003年)和(2)个人身份信息的隐私(2015 年)。
2018年,GAO 报告称,联邦政府需要应对四大赛博安全挑战:(1)制定全面的赛博安全战略并进行有效监督,(2)保护联邦系统和信息,(3)保护赛博关键基础设施,以及(4)保护隐私和敏感数据。在这4项挑战中,有10项行动对于成功应对国家面临的严重赛博安全威胁至关重要(参见识别4项挑战和10项行动的附图)。
按照要求,GAO应就联邦政府解决关键基础设施赛博安全的努力作证。对于该证词,GAO 依赖于其先前发布的部分成果。
主要发现
GAO 此前曾报告过国家面临的主要赛博安全挑战以及联邦解决这些挑战所需的关键行动(见附图)。
为解决关键基础设施赛博安全问题,联邦政府需要采取的关键行动包括:(1)制定和执行全面的国家赛博战略,以及(2)加强联邦政府在保护关键基础设施赛博安全方面的作用。
制定和执行全面的国家网络战略。2020年9月,GAO报告称,白宫的2018年《国家赛博战略》和相关实施计划触及了国家战略的一些理想特征,例如目标和资源。GAO还报告说,尚不清楚行政部门中的哪位官员最终负责协调《国家赛博战略》的执行。因此,GAO建议国家安全委员会更新赛博安全战略,并建议国会考虑立法以在白宫指定一个职位来领导这项工作。
2021年1月,按照一项联邦法规在总统行政办公室内设立了国家赛博总监办公室。 2021年6月,参议院确认了一位总监来领导这个新办公室。2021年10月,国家赛博总监发布了战略意图声明,概述了总监计划的一系列高级别工作的愿景。设立国家赛博总监是让联邦政府更好地指导应对国家赛博威胁的活动的重要一步。然而,GAO 关于制定和执行全面的国家赛博战略的建议尚未完全实施。因此,迫切需要为应对国家面临的赛博挑战(包括其关键基础设施)提供清晰的路线图。
加强联邦在保护关键基础设施赛博安全方面的作用。根据2018年颁布的立法,国土安全部(DHS)下属的赛博安全和基础设施安全局(CISA)负责加强国家关键基础设施的安全,以应对物理和赛博威胁。2021年3月,GAO 报告称,DHS需要完成与CISA转型相关的关键活动,包括敲定该机构的基本任务职能和完成员工规划活动。GAO还报告说,DHS需要解决由选定的关键基础设施利益相关者所确定的挑战,包括让利益相关者始终参与相关指南的制定(见附图)。因此,GAO向DHS提出了11项建议。截至2021年11月,DHS尚未采取这些措施,但已表示有意实施。
关于特定的关键基础设施部门,自 2010 年以来,GAO 提出了大约 80 项建议,以加强这些部门和子部门的赛博安全,包括航空和管道行业。2020年10月,GAO 报告说,尽管美国联邦航空管理局(FAA)已经建立了美国商用飞机的认证和监督流程,但它并未优先考虑基于风险的赛博安全监督,也未将定期测试作为其监督流程的一部分等。 2021年7月,GAO 作证说,运输安全管理局没有完全应对GAO之前确定的与管道赛博安全相关的弱点,例如用于响应管道安全事件的陈旧协议。在 GAO 解决此类问题的建议得到全面实施之前,联邦机构将无法有效地确保关键基础设施部门得到充分保护以免受潜在有害的赛博安全威胁。
建议
自2010年以来,GAO 已向旨在弥补赛博安全缺陷的机构提出了大约3700条建议。截至2021年11月,其中约有900项建议尚未实施。
