美国GAO发布《关键基础设施保护：CISA应评估通信部门支持行动的有效性》报告

近日，美国审计署GAO发布《关键基础设施保护：CISA应评估通信部门支持行动的有效性》报告（报告编号：gao-1433672）。报告从美国关键基础设施保护-通信保护工作背景、主要发现和建议三方面进行阐述。

背景

据美国国土安全部（DHS）网络安全部和基础设施安全局（CISA）称，经济的重要组成部分即通信部门面临着严重的物理、网络和人为威胁，这些威胁可能会影响地方、区域和国家级网络的运行。

CISA 明确表明，通信部门依赖于其他关键基础设施部门，特别是能源、信息技术和交通系统部门，所以任何一个部门的损坏、中断或破坏都可能严重影响通信部门的运营。

CISA 主要通过事件管理和信息共享支持通信部门，例如在恶劣天气事件期间协调联邦活动、制定网络安全管理计划等，但这些行动的有效性尚未得到评估。例如，CISA 尚未确定哪些类型的基础设施所有者和运营商（如大型或小型电信服务提供商）可能从CISA的网络安全计划和服务中达到最大受益，或者是否会出现其信息共享活动和服务中的参与者人数不足的情况。通过评估其计划和服务的有效性，CISA将能够更好地确定其最高优先事项。

此外，CISA并没有更新2015年通信部门特定计划，尽管 DHS 指南建议此类计划每4年更新一次。因此，当前的2015年计划缺乏有关通信部门新威胁的信息，例如通信技术供应链的安全威胁以及定位、导航和授时服务的中断等。制定和发布更新的计划能让 CISA 更好地设定目标和优先事项，以解决该行业面临的威胁和风险，有助于其更好地履行行业风险管理机构的职责。

主要发现

美国CISA 在协调联邦工作和支持私营部门所有者和运营商时，为了确保和提高通信部门在面临严重的物理、网络和人为威胁时的弹性方面发挥着的领导作用，会通过向私营部门所有者和运营商提供各种计划和服务来完成。这些计划和服务包括改善设施物理安全的评估、检测和应对网络威胁的信息共享计划，评估为通信部门提供的计划和服务的有效性，有助于CISA 优先考虑确保和加强该部门关键基础设施的弹性最相关的活动，同时降低活动风险程度。

此外，虽然美国CISA是负责在事件发生后通过“应急响应功能”协调通信部门恢复工作的主要联邦机构，但它尚未完成分析可用于“应急响应功能”活动的资源能力的评估，如果能够完成能力的评估，将使得CISA增加“应急响应功能”资源能力和未来事件响应支持的匹配度。

随着通信行业面临的威胁和风险不断演变，制定反映CISA 当前目标和优先事项的计划将有助于指导CISA应对新出现的威胁。但CISA 尚未更新2015年通信部门特定计划，所以无法反映新出现的威胁和风险及其法定部门风险管理机构的角色和职责。此外，更新的计划还可以加入 CISA 对其支持该行业的计划和服务的有效性的评估结果，与公共和私营通信部门利益相关者协调制定和发布经修订的通信部门特定计划，将有助于 CISA 设定目标和优先事项，以应对通信部门面临的新威胁和风险。

对CISA的建议

美国政府问责局向 CISA 提出三项建议：

建议1：

CISA 应评估 CISA通信部门支持计划和服务的有效性，包括制定指标以及分析从所有者和运营商收到的反馈，才能够确定其活动对部门安全和弹性的有效性和相关性。

建议2：

CISA 应完成对应急响应功能的能力评估，例如制定要求、维护当前能力清单，并进行能力差距分析以确定是否以及在何处可能需要其他资源。

建议3：

CISA 应与公共和私营通信部门利益相关者协调，制定修订后的通信部门特定计划，其中应包括应对通信部门新出现的威胁和风险，以及符合部门风险管理机构职责的目标、目的和优先事项。

下载原文件：https://www.gao.gov/products/gao-22-104462

声明：本文来自路云天网络安全研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。