综合努力：重新思考关键基础设施的网络安全（英）

整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月1国土安全项目| 2021 年 8 月整合努力重新思考关键基础设施的网络安全肖恩·阿特金斯和查普尔·劳森政策文件belfercenter.org/homelandsecurity执行摘要由于对关键基础设施的威胁对社会构成了广泛的威胁，因此在确保其运营连续性以抵御网络攻击方面具有重大的公共利益。然而，由于大多数关键基础设施归私营公司所有，政府必须与工业界合作以确保它们的安全。不幸的是，当前的参与策略是有缺陷的，最近网络日光浴室委员会的建议——尽管很有价值——并不能解决问题。一项新政策必须在联邦政府和相对少数具有系统重要性的公司之间实现真正的整合。这种伙伴关系的具体形式必须适应关键基础设施部门的特点。背景网络安全和关键基础设施。美国目前将关键基础设施定义为“系统和资产，无论是物理的还是虚拟的，非常重要。 . .此类系统和资产的失效或破坏将对安全、国家经济安全、国家公共卫生或安全或这些问题的任何组合产生削弱性影响。”1 通俗地说，关键基础设施由支撑现代社会的系统组成：为企业和家庭提供电力的电网、允许市场经济运行的金融网络、供水和污水处理系统等。联邦政府现在承认 16 个关键基础设施部门（例如“运输”），包括近三打“子部门”（例如“航空”），以及一组重叠的“关键功能”（例如“国家关键功能”）进行选举”）。2 整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月2过去三十年的数字化使这个关键基础设施的大部分容易受到网络攻击。此外，越来越多地引入基于软件的功能（具有新的相关供应链风险）以及系统彼此之间和互联网的互连性，加剧了这种脆弱性。3 事实上，一些分析师警告说，如果发生重大袭击，部门内部和部门之间可能会出现连锁故障。4例如，中断天然气供应的网络攻击可能会导致电网瘫痪，进而阻止供水系统运行，等等。另一个担忧是，对某些部门的控制和安全系统的成功网络攻击可能直接导致破坏和生命损失。当涉及到大坝、管道、炼油厂、航空和核电站时，这种担忧尤为突出。一些关键的基础设施部门几乎一直是探测和入侵的目标，包括来自敌对民族国家。一般来说，关键基础设施的个体所有者运营商没有足够的能力来应对资源充足、经验丰富的参与者的潜在攻击，这些参与者可能有兴趣关闭整个系统。因此，广泛的“攻击面”（即易受黑客攻击的系统数量）会造成潜在的重大安全威胁。政策框架。美国的大多数关键基础设施都由私营部门拥有和运营。私营公司通常没有经济动机去考虑其运营中断可能对其他公司产生的影响——用“外部性”的说法经济学。出于其他原因，公司的投资也可能低于具有安全意识的政府官员希望他们做的事情，尤其是在他们财务受限或缺乏信息或专业知识的情况下。例如，在一些公用事业部门，例如水和电力，较小的公司可能无法聘请知识渊博的网络安全专业人员，并且对网络安全的投资受到费率基数的限制。这些因素的组合使联邦政府处于试图确保公司对网络攻击采取预防措施的位置，而不是依靠公司自行采取预防措施。不幸的是，联邦政府尚未明确规定可指导国家战略的关键基础设施网络安全的总体理想最终状态。5 因此，迄今为止，政府的反应一直是政策的“临时拼凑”。6首先，政府促进了关键基础设施部门和子部门之间的自愿合作，旨在共享有关威胁和脆弱性的信息。这种方法的主要机构表现形式是信息共享和分析中心 (ISAC)，通常由行业运营并按部门或子部门组织。从理论上讲，ISAC 使公司能够从彼此和政府那里获得它们自己永远无法获得的信息。这些信息使他们能够更好地瞄准他们的网络安全投资，并连接各个点以揭示系统范围的威胁行为者活动。7 整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月3其次，联邦政府已在某些部门援引监管方法来应对网络安全。一些监管机构扩大了遗留权力以纳入网络安全，更高（例如金融服务和电力）或更低的程度。其他机构（例如环境保护局在供水系统方面）已被授予新的权力来解决一般的关键基础设施安全问题，包括网络安全问题。这种针对网络安全的有目的的联邦行动有多种形式：规范性监管（即关于公司应采取哪些具体网络安全措施的明确指示）、“准授权”、8责任转移（不遵守行业标准的公司可能容易受到诉讼）等。第三，一些政府机构向企业提供直接援助。例如，国土安全部的网络安全和基础设施安全局 (CISA) 在规划、响应和模拟方面提供了一些帮助，能源部向公司提供了赠款，并资助了电力子行业的研究和开发，以解决特定的漏洞。联邦调查局和其他联邦执法机构同样为公司提供一些运营支持，有时通过转移到行业的政府雇员之间现有的信任关系来促进。从金融服务部门开始，政府已开始尝试与具有系统重要性的公司进行更深入的协调。9金融服务分析和弹性中心 (FSARC) 作为 Indigo 项目的接口，参与公司可以（通过国土安全部）与情报界和美国网络司令部联系，以应对威胁和预防攻击.10最近，FSARC 将金融服务以外的公司（包括南方公司等领先的电力公司）合并，将其更名为“ARC”。 整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月4分析该政策框架鼓励在某些部门加大对网络安全的投资，但安全性提高不均衡且往往有限。在信息共享方面，ISAC 对某一部门公司的覆盖范围和目的的严肃性差异很大。没有一个涉及行业和政府之间的常规、实时、双向信息共享。在许多行业中，大公司认为他们从政府那里获得的信息价值相对较小，认为他们与官员的非正式联系、内部检测能力以及他们可以从私人网络安全服务提供商那里购买的东西更有价值。11在几乎没有竞争的地方（如电力、核能、水和水坝），公司之间的自愿信息共享可以很好地发挥作用。然而，它在其他领域可能会出现问题，因为它要求公司将有关威胁和漏洞的调查结果传递给商业竞争对手。在公司经常根据其网络安全能力相互竞争的行业（如某些电信公司），情况尤其具有挑战性。在极少数情况下，例如金融服务，对一个人的网络威胁被认为是对所有公司所依赖的整个系统的一种风险，这会抑制网络安全方面的竞争。监管方法也遇到了网络安全中存在问题的现实。由于公司和政府都不知道哪些网络安全投资会证明对坚定的对手是成功的，因此政府对私营公司的指示不一定能增强安全性，即使它们对公司来说可能代价高昂；事实上，公司遵守监管要求的努力可能会蚕食有用的投资。此外，规则制定过程根本无法跟上动态的威胁环境，12 甚至在宣布时加强安全的精心设计的授权也可能很快过时。当前政策框架的第三个要素——直接联邦援助——也仍然存在问题。能源部提供的赠款既提供给需要财政援助的公司（受到严格监管、现金短缺的电力公司），也提供给可以自行投资的公司。对私人业主经营者的运营援助是临时性的，并且倾向于从政府之外聘请人才的大公司。现有框架的有希望的元素是 ARC 的创建，因为它暗示了行业和政府之间一种非常不同的密集、无缝协作。 整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月5建议一个改进的政策框架将包含四个要素。总之，与传统的监管制度或行业和政府之间的纯自愿合作相比，这种政策组合将为关键基础设施带来更大的网络安全。1.联邦政府必须根据每个部门的特点调整其政策，包括其独特的市场动态、威胁概况和网络安全能力。在一个行业中运作良好的信息共享制度、监管要求、援助形式以及企业和政府之间的非正式互动在另一个行业中将失败。例如，受到严格监管和现金受限的公用事业可能需要补贴。相比之下，石油和天然气公司或管道公司不需要补贴，但可能需要通过监管活动的威胁促使他们采取行动，以迫使公司相互之间以及与政府分享有关影响脆弱性的信息。控制系统。在通信和信息技术领域，还需要另一种政策组合，以考虑到公司可能非常不愿意相互共享有关漏洞的信息这一事实。此外，每个部门都有独特的组成和市场动态，这可能会使建立有效合作伙伴关系所需的信任和组织复杂化。例如，在电力子行业，少数大公司占据了市场的大部分，而水则由大量小得多的供应商组成。在电力方面，公司之间几乎没有直接竞争，从而更容易建立信任。相比之下，金融服务有激烈的直接竞争（尽管不是在网络安全方面），这对建立的信任产生了限制。事实证明，调整现有的信任结构（例如贸易团体或非正式领导协会）可以有效克服其中的许多挑战。如果现有结构不存在，则必须创建它。与政府的自愿合作还取决于具有特定部门的领导机构，该机构拥有正确的权力、与私营部门的关系以及网络专业知识。在某些部门（例如水和医疗保健），这些因素不存在。同样，如果行业和政府之间的历史关系是对抗性的（如在石油和天然气领域），参与战略必须适应合作才能取得成果。因此，需要跨所有部门审查整个制度的架构，着眼于更好地了解每个部门的工作原理。尽管 CISA 理论上可以 整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月6开展这项工作，实际上，国土安全部与分配给它的部门合作的方式需要成为审查的一部分。因此，这项工作最好由白宫办公室协调，可能由新成立的国家网络总监办公室协调。可以委托大学或在该领域运营的非营利组织（例如互联网安全中心）对审查进行深入研究。至关重要的是，作为此次审查的结果制定的任何政策都应让私营部门作为正式合作伙伴积极参与。全面合作不仅仅意味着涉及与私营部门关系密切的政府机构（例如商务部和国土安全部的私营部门办公室），尽管它们应该包括在内。这也不意味着偶尔与私营部门进行磋商。相反，应该通过与政府审查并行的部门协调委员会进行私营部门审查，并在每个部门内的企业和政府之间进行充分协调。2.政府应将精力集中在最重要的部门、公司和职能上，它们的失败将对整个国家产生重大影响。并非政府目前确定的所有 16 个关键部门都同等重要，每个部门内的所有公司也并非同等重要。特定部门的国家重要职能的连续性通常取决于少数公司；如果小公司倒闭，许多部门不会受到威胁。总而言之，可能有 20 到 50 家公司或职能部门担心运营的连续性需要联邦政府积极参与。关于哪些公司属于系统重要性类别的决定应根据透明的标准做出，并在政府内部每年进行审查。哪些公司符合这些标准也应接受审查，这意味着新公司可能会被添加到该组中。3.政府与大公司的合作应基于信息共享、规划投资和弹性以及减少运营威胁方面的努力的真正整合。运营整合需要一个联合作战室，涉及几十家最大的公司，类似于 ARC 的扩展版本。预计参与公司将共享信息并合作规划其投资和行动（在安全性和弹性方面），并通过互惠义务和同行审查来确保进行此类投资。不符合会员标准的公司应被排除在外。在该制度建立之前，少数部门（例如管道和石油和天然气）可能需要法定监管，以确保公司对潜在的网络攻击采取最少的措施。然而，监管的主要目标应该是打破壁垒 整合努力：重新思考关键基础设施的网络安全|贝尔弗科学与国际事务中心|2021 年 8 月7整合努力，而不是建立自上而下的监管制度。在开始阶段，扩展后的 ARC 将主要关注战术问题，例如威胁识别和操作响应。企业通过国土安全部与政府运营部门的当前机制是一种合适的开始方式，尽管最终公司与网络司令部等运营部门之间的直接接触也可能奏效。尽管最初的战术重点是，扩展的 ARC 也应该成为讨论弹性和相关规划工作的工具。最终，此类努力应通过 ISAC 让更广泛的公司参与。然而，某些战略讨论（例如关于供应链）在具有系统重要性的较小集团内开始是合理的。与建议 1 一样，私营部门必须成为这项工作的全面合作伙伴。联邦政府不应强加整合努力的愿景或实施机制。相反，与其他成功的合作伙伴关系（例如国土安全部和国际货运公司创建的航空货运高级筛选计划）一样，新制度应该与相关公司共同创建。只有在该制度运作良好并且旨在维持该制度之后，才会颁布立法授权。4.虽然密集的参与必须集中在最大的公司上，但政策框架应该包括联邦对关键基础设施的中小型业主运营商的援助。目前，该系统非正式地使大公司受益。非常大的公司也将受益于与政府建立更紧密的合作伙伴关系（例如扩大的 ARC）。为了减少这种