2022年10月28日

 

美國正試圖讓公司和組織更加容易地加強其網路安全，以應對各種日益嚴重的旨在削弱各公司運營、竊取其資料，或者勒索贖金支付的網路攻擊。

美國國土安全部（DHS）和網路安全與基礎設施安全局（CISA）的官員週四（10月27日）推出了新的“網路安全性能目標”（Cybersecurity Performance Goals），並將其描述為一種重要但自願性質的資源，説明公司和組織做出更好的決策。

“這些網路安全性能目標實際上呈現的是推進網路安全的選項功能表，” 國土安全部長亞曆杭德羅·馬約卡斯（Alejandro Mayorkas）告訴記者，他將此次推出的選項描述為網路安全的“分水嶺時刻”。

 

“它們是非常可及的和易於理解的，並且它們根據每個目標將帶來的成本，實施目標的複雜性以及目標實施將產生的影響程度來加以識別，”他補充說。

幾個月來，美國官員一直警告說，網路空間的威脅環境越來越複雜和危險，並推動政府發起的“豎起盾牌”（Shields Up）行動，提高網路安全意識，部分原因是因為俄羅斯今年2月末入侵烏克蘭。

他們還呼籲關注伊朗和朝鮮的網路攻擊，同時警告說，這兩國的國家和非國家行為體都越來越多地搜索和瞄準美國的關鍵基礎設施，這些基礎設施包括自來水公司、電力公司和機場，這些設施在10月初遭到了一系列阻斷服務攻擊。

 

私營網路安全公司也警告說，針對醫療保健公司以及教育和研究機構的攻擊越來越多。

雖然一些較大的美國公司和組織已經能夠投入時間、金錢和其他資源來應對日益增長的危險，但美國官員擔心其他一些公司和個人仍然未能做到。

網路安全與基礎設施安全局特別擔心一些中小型企業以及醫院和學校系統。這些系統通常被官員描述為目標豐富但資源貧乏，因為他們沒有資金或資源來保護系統和資料免受駭客攻擊。

 

官員們表示，新指南側重于帳戶安全、培訓、事件報告以及回應和恢復等關鍵領域，並附有備忘清單。這種設計是為了減輕用戶的負擔。官員們還表示，他們預計這些目標將隨著威脅的變化而演變。

網路安全與基礎設施安全局局長珍•伊斯特利（Jen Easterly）說，制定這些新公佈的目標“真正代表了網路安全措施的最低基線，如果得以實施的話，不僅會降低關鍵基礎設施的風險，還會降低國家安全、經濟安全以及公共衛生和安全的風險。” 她說稱其為“快速入門指南”。

 

“這的確是一個推動優先投資到最關鍵實踐的開端領域，”她說。

根據網路安全與基礎設施安全局的說法，許多新目標已經引起了迴響，包括管理美國選舉事務的州和地方官員。

“我們一直在與他們合作，實施其中一些最佳實踐，並確保他們擁有工具、資源和能力，以確保選舉基礎設施的安全性和韌性，”伊斯特利週四告訴記者。“我甚至在過去幾天裡會見了一些選務官員......他們都特別表示了對所有系統的網路安全的信心。”

 

網路安全與基礎設施安全局週四還表示，需要更多説明的美國各州和地區可以利用未來四年提供的10億美元資助。

這些專門用於幫助保護美國關鍵基礎設施的資助款項是於上個月首次宣佈的。