前情回顾·美国关基安全推进
安全内参10月16日消息,美国环保署将不再强制要求,美国供水设施在卫生检查过程中执行网络安全审计。这对于正在努力改进美国关键基础设施网络安全的拜登政府不啻为重大打击。
上周四,环保署给各州饮用水管理机构致信表示,由于共和党执政州和贸易协会提起诉讼,质疑对供水设施网络安全进行监管的提案不具备长期法律可行性,环保署决定废除3月要求实施水务部门网络安全规定的备忘录。
环保署的上述声明,标志着白宫加强关键基础设施部门网络安全法规的努力遭受了重大挫折。拜登政府的国家网络安全战略将改善关键基础设施的数字防御能力视为重要任务。
关键基础系统的所有者和运营商正努力应对泛滥的勒索软件攻击和国家网络攻击,以及对美国最敏感网络的渗透行为。在关键基础设施领域,一次重大网络攻击可能会造成极其严重的后果。美国的供水设施在网络安全方面尤为薄弱。
环保署发言人在声明中表示:“尽管备忘录因诉讼而撤销,改善水务部门的网络安全依然是环保署的最高优先事项之一。供水和废水设施面临严重网络安全威胁,这种威胁在不断增加。”
环保署表示,他们鼓励“所有州自愿审查公共供水系统的网络安全计划,确保发现并纠正任何漏洞,并为需要帮助的系统提供支持。”
推动强制性网络安全阻力重重
对于未来如何协调现有16个关键基础设施领域的各项法规而言,水务部门网络安全管理规定的撤销并不是一个好兆头。许多关键基础设施领域,譬如供水和废水领域,缺乏网络安全法规。美国国家网络安全战略认为,如果这些行业按照自愿原则来规范网络安全,会面临“成效不充分或不平衡”等问题。
通过环保署规范供水设施网络安全是拜登政府的创造性政策举措。然而,此举从一开始就备受争议。水务行业强烈反对使用环保署现有权限增加网络安全法规。一些专家质疑卫生检查并非执行网络安全法规的正确工具,因为传统上卫生检查并不涉及任何了解保护工业系统复杂性的审计人员。
水务部门网络安全规定颁布后一个月,密苏里、阿肯色和艾奥瓦州即提起诉讼,试图阻止环保署通过卫生检查执行网络安全规定。美国第八巡回上诉法院裁定在诉讼期间停止实施该措施。
美国供水协会和全国农村供水协会也提起诉讼,导致水务部门网络安全规定实施受阻。两家协会发表声明,表示他们“对(法院)决定感到满意,并再次呼吁在水务部门采用与电力部门类似的合作性网络安全措施。”
这两家贸易团体再次呼吁采用与电力部门相似的共同监管模式。该模式将赋予环保署对标准的监督和审计权,并与业界合作制定标准。
环保署因未能保护美国供水与废水系统而受到批评。一些人建议设立新的水务部来承担这项任务。
参考资料:https://cyberscoop.com/epa-calls-off-cyber-regulations-for-water-sector/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
