回应白宫关于协调网络安全法规的要求
AI智能总结
回应白宫关于协调网络安全法规的要求 白皮书 10 月 2023 Getty Images 图片 : Contents 执行摘要 3 1 关于网络弹性系统 : 电力倡议 4 2 全球法规工作组 5 3白宫要求提供有关网络安全监管的信息6 协调 3.1 相互冲突的国际网络安全要求 7 3.2应优先考虑监管协调的部门 8 3.410正在进行的国际倡议 结论 12 免责声明 这份文件由世界经济论坛发布,作为对某个项目、视角领域或互动活动的贡献。文中所述的研究发现、解释和结论是世界经济论坛协助并认可的合作过程的结果,但这些结果未必反映世界经济论坛的观点,也不一定代表其全部成员、合作伙伴或其他相关方的意见。 © 2023 世界经济论坛。所有权利保留。本出版物的任何部分均不得以任何形式或通过任何手段复制或传输,包括复印和录音,或通过任何信息存储和检索系统。 执行摘要 于2023年7月19日,美国白宫国家网络总监办公室(ONCD)发布了一份信息请求(RFI)。1关于在全球范围内协调网络安全法规并确保国家间的监管互认。本RFI是美国国家网络安全战略中提出的 Goals 的延伸。2旨在同步不仅法规和指南,还包括受监管实体的评估和检查流程。这标志着在美国国家网络安全战略实施计划中于7月公布的69项举措之一所取得的进展。 鉴于SCRE的独特全球视角和专业知识,以及其在该领域的持续工作,社区共同制定了这份白皮书以回答RFI国际部分(第9节)中的问题。该部分涉及网络安全要求冲突、优先行业和地区、国际合作对话、正在进行的国际倡议以及监管互认。 SCRE社区欢迎并支持ONCD的监管 harmonization 努力。其对ONCD的建议如下: 2022 年 9 月 , 世界经济论坛网络弹性系统 :电力倡议(SCRE) 社区3已经将全球监管互操作性确定为关键重点领域之一,并成立了全球监管工作组以促进电力sector的全球网络监管互操作性。 - 继续 ONCD 不断努力 , 以提高全球监管互操作性 , 提高安全性并降低成本。 - 通过采用基于风险的方法 , 将安全性优先于合规性。 – 从政策和监管过程的最早阶段就开始与私营部门、公共部门和民间社会的利益相关者进行 engagement。 这个工作组应对的是复杂且跨行业、跨领域的碎片化、不一致以及有时相互矛盾的监管挑战。这些孤立的监管措施缺乏互操作性,导致资源被分散用于应对合规挑战而非直接提升各行业和组织的网络安全态势,从而增加了成本并降低了效率。 – 依托现有国际技术标准,这些标准由非政府机构如国际标准化组织(ISO)和国际电工委员会(IEC)制定。 - 参与有关网络安全的国际对话和国际倡议。 关于网络弹性系统 :电力倡议 自2018年以来,世界经济论坛的《网络安全系统:电力倡议》(SCRE)已经汇聚了来自超过60家电力公用事业公司、能源服务公司、监管机构及其他相关组织的全球领导者,共同合作并制定了电力生态系统清晰且一致的全球网络安全愿景。 SCRE是唯一的一个全球性的、针对电力行业的多利益相关方的公私合作伙伴关系,其中网络安全领导者们合作以在整个电力领域内提升整体的网络安全韧性。 这一倡议为全球电力公司和领先行业合作伙伴提供了一个平台,引领提升应对各国共同面临的网络安全威胁的能力和成熟度。 Tom Wilson , 美国南方公司高级副总裁兼首席信息安全官 2全球法规工作组 监管互操作性是 SCRE 及其全球监管工作组的重点领域之一。 3.全球承诺 信息共享:创建并使用全球统一的信息共享协议和分类法,以支持各自的电力信息共享与分析中心(ISACs)。 工作组探讨了横跨电力sector的监管挑战的复杂性,这些挑战特征表现为碎片化、不一致性和偶尔的冲突。这些监管障碍阻碍了全球互操作性的实现,导致成本增加、效率降低和机会丧失,因为资源被重新分配以应对监管问题而非提升特定领域和组织的网络安全态势。工作组的关键见解包括: 事件响应与报告:全球承诺采用一种通用且高效的国际事件报告分类法和要求。 5. 网络安全卫生内部政策和全球承诺建立程序 : 电力部门特有的基本网络卫生原则。 1. 网络威胁格局的演变导致全球网络安全法规的增加。 6.全球承诺 渗透测试:定期进行的内部渗透测试,包括操作技术(OT)渗透测试。 漏洞披露与管理:全球范围内特定行业的封闭群体中预授权实体对漏洞的行业性披露承诺。 2. 全球监管碎片化,在某些情况下存在冲突,这增加了成本和低效率,并通过有限资源的转移增加网络安全风险的机会成本。 8.全球 组织不得不采取基于风险的硬性措施,范围从管理复杂的监管要求到退出某些市场。 风险评估与管理:致力于在信息技术和运营技术环境中一致应用风险评估方法论。 4. 条例需要采取基于风险的办法 , 将安全置于合规之上。 9.全球 第三方风险管理:每一家供应链组织都必须承担并考虑其工作范围内的网络安全责任。 工作组就确定的关键全球监管主题采取了以下立场 : 10. 采用现有国际标准 , 建立独特的国家 (或全球承诺区域) 标准 : 采用 ISO 27001 和 IEC 62443 等成熟的现有国际标准。 1.全球合规和执行 : 承诺将安全性置于合规之上。 2.全球 数据保护与隐私:致力于支持包括欧盟(EU)《通用数据保护条例》(General Data Protection Regulation, GDPR)在内的数据保护和隐私法规。 工作小组将进一步阐述这些立场,并计划于2023年11月15日发布一篇题为“促进电力sector的网络监管全球互联互通”的论文。 在2023年7月19日,白宫国家网络总监办公室(ONCD)发布了一份信息请求(RFI),内容涉及网络安全监管的一致性和监管互认。该RFI基于《白宫国家网络安全战略》中关于“不仅协调法规和规则,还要协调评估和审计受监管实体”的承诺。该RFI推进了其中的一个共69项倡议。 美国国家网络安全战略实施计划于 7 月公布。 鉴于SCRE独特的全球视角和在此领域的专业能力,社区在本白皮书中分享了其集体知识。目的是为以下RFI国际部分(第9节)中提出的问询提供精确的回答: 9. 国际 – 许多在美国运营的受监管实体从事国际业务。在总统国家安全电信咨询委员会(NSTAC)最近的一份报告中,NSTAC指出,外国政府正在实施“重叠、冗余或不一致的要求…”的监管制度。 事实简报:国家网络总监办公室请求就 harmonize 网络安全法规征求公众意见 —— 关于网络监管协调性的信息请求 识别美国联邦网络安全要求与外国政府网络安全要求的具体冲突实例。 D. 请识别任何由国际标准组织、贸易团体或非政府组织开展的相关于监管目的的国际网络安全标准化活动。描述这些活动的性质。请列举任何外国国家内的监管互认示例。 在考虑国际协调网络安全要求时,是否应优先考虑特定的国家或行业? 哪些建设性对话涉及协调或对齐网络安全要求的工作?哪些会是最有前景的平台来推进这种对齐? 请识别任何外国国家之间或外国国家与美国之间的监管互认案例。 3.1 A. 相互冲突的国际网络安全要求 识别美国联邦网络安全要求与外国政府网络安全要求的具体冲突实例。 世界各国政府机构在为行业制定网络安全要求时,包括美国在内的机构经常采取不同的方法来应对相同或类似的网络安全挑战,这是因为缺乏全球共识。这导致了一系列复杂、不针对特定行业和部门、碎片化、不一致且有时相互矛盾的监管措施,这些措施缺乏并妨碍了互操作性。 当前的网络安全监管孤立方法并未导致更加安全的全球数字经济。博弈论中的囚徒困境问题表明,利益相关者在网络安全法规方面的合作将提高全球数字经济的安全性。然而,固有的挑战始终在于:谁会首先行动?解决并推进这一合作问题是至关重要的。 不同国家的网络安全监管存在差异,这种现象可以在国家网络安全标签计划中找到,例如美国、欧盟和新加坡的计划。随着越来越多的产品需要互联网连接,消费者面临的网络安全风险表面面积显著增加。为应对这一问题,多个国家政府已宣布计划开发自己的网络安全标签方案。例如,新加坡网络安全局率先推出了网络安全标签方案(Cybersecurity Labelling Scheme, CLS)。4在2020年,制定了智能设备买家可以使用的安全评级水平,以便做出知情选择。2022年9月,欧盟提出了《网络安全法案》(Cyber Resilience Act)。5为了在欧盟成员国的产品中建立通用的安全标准,这些产品包含与设备或网络连接的数字元素。最后,在2023年6月,拜登政府宣布推出新的美国网络信任标志。6该计划将由联邦通信委员会领导,包含与新加坡和欧洲模式非常相似的要素。 网络安全威胁 landscape 的演变以及监管机构对收紧法规的反应加剧了这一问题。组织被迫将有限的资源用于应对合规挑战,而不是专注于自身的网络安全状况。此外,在网络要求方面缺乏共识的同时,对于这些法规覆盖的对象或主体也存在分歧(例如,不同的关键基础设施部门指定、不同法规将各种系统纳入范围等)。 今天的数字经济跨越了国界,需要建立坚固且统一的国际网络安全标准,以确保跨国公司能够最好地应对恶意行为者不断出现的新威胁。 因此,世界各国的企业纷纷参考国际组织如国际标准化组织(ISO)和国际电工委员会(IEC)制定的标准,以获得广泛范围的网络安全问题指导,并作为全球最佳实践的标杆。当不同的监管机构使用广为人知的国际技术标准(如ISO/IEC 27000系列的信息安全控制和IEC 62443系列的工业控制系统控制)来制定其政策时,不仅为公司设定了高标准的安全要求,还降低了成本并确保了与其他监管制度的互操作性。 这些网络安全标签倡议虽然共同目标是向消费者保证所购买的产品具备足够的防护措施以抵御网络危害,但它们的范围和具体要求各不相同。鉴于威胁环境在不同行业和地区存在差异,开发这些国家层面的网络安全标签时,最合理的方法是基于国际共识的技术标准,以确保最大程度的互操作性。 相反,当不同的监管机构和政策制定者以各自的本地标准和法律作为制定网络安全要求的参考时,这会导致全球数字政策 landscape 的日益碎片化,进而不合理地增加跨国公司的合规成本,并分散资源用于有效的网络风险管理活动。 SCRE社区欢迎并支持ONCD的监管 harmonization 努力,并建议他们继续努力实现全球监管 harmonization,以提高互操作性、增强安全性和降低费用。 3.2 B. 监管协调的优先部门 在考虑实现国际网络安全要求的协调时,是否应优先考虑特定国家或行业? 部门 : 电力 随着可再生能源的发展,这些假设必须重新审视。同样地,不同的网络安全报告要求适用于美国天然气基础设施和美国电力基础设施——然而,这些系统是相互关联的,天然气是电力部门最大的能源来源。 网络安全在电力行业中的重要性日益凸显。多种叠加的趋势共同导致了风险环境的加剧:数字化、网络化的设备现已渗透至能源基础设施;针对基础设施的攻击事件有所增加;能源转型正将该行业从传统的业务模式中剥离出来,而这些模式长期以来一直是监管机构理所当然的基础;物联网(IoT)由连接的消费者和工业设备组成,将物理世界与数字世界相连;人工智能(AI)为防御者和攻击者 alike提供了新的强大能力。 电力部门已经开始了进一步的变化。人工智能提供了新的能力,这些能力将对攻击者具有吸引力并对防御者至关重要。人工智能使网络安全监控能够以机器般的速度检测和响应攻击,但尚不清楚监管制度将如何接纳或限制其在基础设施中的使用。生成式人工智能可能被攻击者滥用,以制造更为有效的攻击——这可能会产生更具说服力的网络钓鱼攻击、绕过恶意软件签名检测,或者降低将恶意意图转化为行动所需的技术水平。 电气基础设施是关键基础设施。没有可靠的电力生成、传输和分配,经济的其他部分将无法正常运行。 The SCRE社区强调电
