经过数年的审议和一些错误的开始,一个由两党议员参与的组织介绍网络安全检查,将授权美国国土安全部负责安全关键基础设施供应商,提高系统的共享信息的威胁。
两党的参议员代表三个委员会周二推出了期待已久的网络安全立法,一个全面的法案,该法案将给国土安全部新当局私营部门在关键基础设施和寻求鼓励信息的共享政府和行业之间的威胁和攻击。
2012年网络安全法案将直接国土安全部与行业成员协同工作和相关政府机构进行一系列的风险评估和确定哪些私营企业将被视为经营“关键基础设施覆盖,”一个至关重要的名称,确定一个私营实体可能受新的监管。
比尔展示了一组广泛的国土安全部指南使用的评估。覆盖关键基础设施提供者将一个实体的网络攻击可能导致“生命的中断服务”等能量或运输,可能造成巨大的人员伤亡和广泛的疏散,或导致美国“灾难性的经济损失”或“严重退化的国家安全或国家安全的能力。”雷竞技比分避免“网络911”
参议员乔·利伯曼(I-Conn),该法案的发起人之一,在参议院周二做出紧急情况,全面改革国家的网络安全机制需要避免“网络9/11。”
“该法案的目标是确保我们不争夺在国会这样的攻击后今天我们能够而且应该做的事,”利伯曼说,国土安全和政府事务委员会主席。“事实是,我们的网络防御系统不是他们应该是什么,但是等他们,他们闪烁的红色。”
加入利伯曼的原始发起人比尔在苏珊•柯林斯(缅因州)国土安全委员会资深共和党,商业委员会主席约翰·洛克菲勒(D-W.V)和Dianne Feinstein(加州),选择情报委员会主席。
该法案的产品是一些三年积极工作的立法草案,达到一个更新和扩展的联邦监管当局应对现代景观和威胁越来越数字化的重要系统,电网和金融服务等,没有过度延伸,让私人部门繁重的合规要求。
还没有一个简单的平衡。尖锐的批评来自各种各样的立法建议行业组织的新规定将创建和数字为潜在的隐私侵犯人权组织,而now-discarded给总统扩大当局关闭网络系统在发生重大网络攻击了批评的避雷针。所谓“杀死开关”条款被对手解释意味着总统会完全不受制约的权力关闭互联网后宣布紧急状态的网络。利伯曼试图化解电荷引入了新的立法。
“没有这样的远程比尔,”他在参议院在讲话中说。
国土安全及政府事务委员会周四安排考虑该法案举行听证会。洛克菲勒和国土安全部主管纳波利塔诺(Janet Napolitano)都将作证。他们的证词将紧随其后的目击者,包括斯科特•恰尼公司微软的可信任运算集团副总裁、前国土安全部部长汤姆·脊,现任国家安全工作组主席对美国商会(U.S. Chamber of Commerce),批评的某些规定立法提议。
发言人亚当Jentleson多数党领袖哈里•里德证实,里德打算把这项措施在参议院在接下来的工作时间,但他无法进一步缩小时间框架。“这是仍在制定当中,”他说。下周休会之后,参议院定于本月返回会话结束时,通过3月工作。
提倡扩大联邦网络当局引用估计在80%和90%之间的关键基础设施拥有并经营的私营部门的成员,早期对该法案反应不一。
“我们的看法是有一个真正的威胁。有必要采取行动。有一个强大的私营部门和公共部门需要合作,”负责政府关系的副总裁汤姆•甘恩说安全软件厂商McAfee。
但McAfee仍怀疑扩大监管。最近公司高管在众议院小组委员会面前作证的网络安全威胁和适当的政策回应,告诉立法者,税收抵免等积极的激励措施和责任保护一般优于等惩罚性措施处罚未能遵守一套新的规定。
“一个大问题仍将是国土安全部的程度超出了信息共享,分享最佳实践……调节,江恩在接受采访时表示。“没有人认为更多的安全没有意义,”他说,但重要的问题是“如何鼓励的问题。”
江恩所说,他承认,他和他的政策团队仍在审查冗长的法案,不认为,国土安全部应该没有任何作用更强的私人网络安全,而是认为,作为一般原则,规定是不可靠的催化剂更安全。政治实用主义的问题,他建议对提案的议员们集中精力在新法案,享受更强的两党支持,信息共享等规定和措施来支撑政府系统,特别是在高度政治化的会话下election-shortened立法工作日历。
国土安全部的定义
但该法案的作者熟悉的指控管制过度。周二立法引入一定程度的灵活性意味着为覆盖企业减轻负担,如规定,国土安全部不会有管辖权的实体操作的部门已经是独立的联邦政府机构的监管。覆盖关键基础设施运营商将提交自己的网络安全性能要求国土安全部,秘书可以否决,如果他们不认为足够强大,但运营商,证明他们已经有足够的防御可以赢得一个完全豁免的性能需求。
法案中“基于风险的性能需求有针对性的仔细,”柯林斯说,她的话周二在参议院。“此外,关键基础设施的所有者,而不是政府,将选择和实施网络安全措施的所有者决定最适合满足基于风险的网络安全性能需求。”
如果一个私人实体觉得它错误被视为关键基础设施的提供者根据定义的法律,它将吸引指定国土安全部本身或在联邦法院。
此外,在其分析中,国土安全部不会做出声明单个产品或技术,而是针对锚的监督风险评估。
许多私营部门组织可能反对扩大了国土安全部法案提供的配置文件,但是人朝向教堂,LogLogic的首席执行官,IT公司,帮助企业与合规、日志管理和安全事件,认为行业惯例仍未持续安全,而且是一个适当的政府扮演的角色,只要勉强关注风险,而不是遵从性。
“虽然看起来brother-ish大政府创建规则私有基础设施,我们的确需要一些干预加强美国公司的安全态势,“朝向教堂在一封电子邮件中写道。“国土安全部可以驱动指南,但它也是非常重要的,提供合适的帮助企业安全基础设施。我们不需要一个复选框类型的规定不清楚指南和更多的官僚主义,其次是平庸的复选框的战术采购产品留下更多的漏洞。”
除了国土安全部语言,它可能会获得最大的反对党,新法案包含一个数量的规定,鼓励企业和政府机构共享信息对潜在的威胁和攻击,包括责任的盾牌来保护公司参与诉讼的所谓的网络交流。
该法案还将建立一个系统授权私人实体接收来自政府部门的机密信息网络威胁,寻求解决行业和政府之间的信息共享的感知往往是单行道。
消融技术的保密文化技术McAfee的甘恩表示,他是鼓励新技术的出现,使得政府机构和他人共享数据而擦洗信息来源和相关的威胁的方法获得,一个开发,再加上新的立法,可以帮助解冻的保密文化机构网络安全的前线。
“我认为这项技术成熟,随着法律制度的成熟希望既能相交,”他说。
此外,网络安全法案需要一些改革联邦信息安全管理法案,政府的法令强制安全标准IT系统,许多观察家说已经严重过时了。在修改FISMA过程中,该法案将要求联邦政府开发一个新的基于风险评估的方法在其采购流程。
其他条款的立法将寻求扩大合格的网络安全工作者的数量,提高安全技术的研究和开发。
肯尼斯·卡宾是华盛顿特区的作家,包括政府和监管问题为CIO.com。
阅读更多关于政府CIO的政府、下钻。
这个故事,”参议员推出网络安全法案授权国土安全”最初发表的首席信息官 。