美國的國家級網路安全戰略Part 4

支柱三: 塑造市場力量以推動安全和韌性

Sep 24, 2024

為了繼續維持美國在世界的老大哥地位，美國政府會形塑市場力量，將屎坑交給數位生態系統中最有能力降低風險的人。美國政府將把不良網路安全的後果從最脆弱的群體身上轉移出去，使數位生態系統更值得信任。在這項作業中，美國政府不會取代或削弱市場的作用，而是有效地引導市場力量，以保持美國的韌性和安全。目標是建立一個現代數位經濟，促進增強數位生態系統安全性和韌性的實踐，同時保持創新和競爭。

關鍵基礎設施的持續中斷和個人資料的竊取清楚地表明，僅靠市場力量不足以推動網路安全和韌性的最佳實踐的廣泛使用。在許多情況下，選擇不投資網路安全的單位會對那些投資網路安全的單位產生負面和不公平的影響，往往對小型企業們最脆弱的社區產生不成比例的影響。雖然市場力量仍然是實現敏捷和有效創新的首要、最佳途徑，但它們沒有充分讓這些賺很兇的產業優先考慮美國的核心經濟和國家安全利益。所以美國政府要出來管一管。

為了應對這些挑戰，政府將塑造數位生態系統的長期安全性和韌性，以應對當今的威脅和未來的挑戰。美國政府會讓資料管家(stewards)對保護個人資料負責；推動更安全的互聯設備的開發；並重塑法律，規範因網路安全錯誤、軟體漏洞以及數位技術進而造成的其他風險產生的資料竊取和損害的責任。美國政府將灑幣來激勵安全性。美國政府將探討政府如何穩定保險市場以應對災難性風險，以推動更好的網路安全實踐，並在災難性事件確實發生時提供市場確定性。

戰略目標3.1: 讓數據管家承擔責任

保護個人資料是數位未來保護消費者隱私的基本面向。數據驅動的技術改變了經濟並為消費者提供了便利。但個人資訊的急劇擴散擴大了威脅環境，並增加了資料外洩對一般人的影響。當擁有個人資料的組織未能充當這些資料的負責任的管家時，他們就會將成本轉嫁到普通美國人身上。通常，最大的傷害落在弱勢群體身上，他們的個人資料風險可能會造成不成比例的傷害。所以賺太兇的單位要拿錢出來做好這些防護。

美國政府支持立法作業，對收集、使用、傳輸和維護個人資料的能力施加強有力、明確的限制，並為地理位置和健康資訊等敏感資料提供強有力的保護。該立法還應制定國家要求，以確保個人資料符合 NIST 制定的標準和指南。透過提供隨威脅而變化的隱私要求，美國可以為更安全的未來鋪路。

戰略目標3.2: 推動物聯網設備的安全分級

物聯網 (IoT) 設備，包括穿戴式裝置等消費品，以及工業控制系統和感測器，為家庭和企業引入了新的連接來源。然而，現今部署的許多IoT設備並沒有充分保護網路安全威脅。它們部署時的預設設定往往不夠，可能很難或不可能修補或升級，或配備了先進的（有時是不必要的）功能，導致在關鍵實體和數位系統上進行惡意網路活動。最近的物聯網漏洞表明，壞蛋可以輕鬆地利用這些設備來建立殭屍網路並進行監視。

美國政府將按照 2020 年物聯網網路安全改進法案的指示，繼續透過聯邦研發 (R&D)、採購和風險管理工作來改善物聯網網路安全。 EO 14028「Improving the Nation’s Cybersecurity」的指示。透過物聯網安全標籤的機制，一般人將能夠比較不同物聯網產品提供的網路安全保護，從而為整個物聯網生態系統提高安全性創造市場誘因。

戰略目標3.3:做爛軟體產品和服務人要負責

市場對那些將易受攻擊的產品或服務引入數位生態系統的實體施加的成本不足，而且往往會給予獎勵。太多廠商忽視安全開發的最佳實踐，交付具有不安全預設配置或已知漏洞的產品，並整合未經審查或未知來源的第三方軟體。軟體廠商能夠利用其市場地位，透過合約完全免除責任，進一步減少他們遵循設計安全原則或執行預發布測試的動機。糟糕的軟體安全性極大地增加了整個數位生態系統的系統性風險，並讓美國公民承擔最終成本。

美國政府會好好開始管管那些未能採取合理預防措施來保護其軟體的廠商，同時認知到即使是最先進的軟體安全程序也無法防止所有漏洞。製造軟體的公司必須擁有創新的自由，但當它們未能履行對消費者、企業或關鍵基礎設施提供者的謹慎義務時，它們也必須承擔責任。責任必須放在最有能力採取行動防止不良結果的利害關係人身上，而不是放在經常承擔不安全軟體後果的最終用戶身上，也不要放在整合到商業產品中的組件的開源開發人員身上。這樣做將推動市場生產更安全的產品和服務，同時保持創新以及新創公司和其他中小企業與市場領導者競爭的能力。

美國政府會立法，確定軟體產品和服務的責任。任何此類立法都應防止具有市場力量的製造商和軟體發行商透過合約完全免除責任，並在特定的高風險情況下為軟體製定更高的維護標準。為了開始製定安全軟體開發的護理標準，政府將推動適應性安全港框架(safe harbor framework)的發展，以保護安全開發和維護其軟體產品和服務的公司免於責任。這個安全港將借鑒當前安全軟體開發的最佳實踐，例如 NIST 安全軟體開發框架。它還必須隨著時間的推移而發展，納入用於安全軟體開發、軟體透明度和漏洞發現的新工具。

為了進一步激勵採用安全軟體開發實踐，美國政府將鼓勵所有技術類型和部門協調一致的弱點揭露；促進SBOM的進一步發展；制定一個流程來識別和減輕廣泛使用或支援關鍵基礎設施的不受支援的軟體所帶來的風險。聯邦政府也將與私人單位和開源軟體社群合作，繼續投資安全軟體的開發，包括記憶體安全語言和軟體開發技術、框架和測試工具。

戰略目標3.4: 用撒幣和其他激勵措施建立安全

撒幣提供了對關鍵基礎設施進行投資的戰略機會，這些基礎設施的設計、開發、部署和維護都會考量到了網路安全和抵禦各種災害的能力。透過《跨黨基礎設施法》、《減少通膨法》以及《CHIPS 和科學法案》資助的項目，美國正在對基礎設施和支持基礎設施的數位生態系統進行千載難逢的大撒幣。本屆政府致力於以增強集體系統韌性的方式進行投資。

聯邦政府將與 SLTT各單位、私人單位和其他合作夥伴合作，透過技術援助和其他形式的支援來平衡申請人的網路安全要求。美國政府可以共同推動對設計安全且具韌性的關鍵產品和服務的投資，並在關鍵基礎設施的整個生命週期中維持和激勵安全性和韌性。聯邦政府也將優先為網路安全研究、開發和示範（RD＆D）計畫提供資金，旨在加強關鍵基礎設施的網路安全和韌性。而且，政府將與國會合作制定其他激勵機制，以大規模推動更好的網路安全實踐。

戰略目標3.5:靠撒幣來提高問責制

對向聯邦政府銷售產品的廠商的合約要求一直是改善網路安全的有效工具。 EO 14028「Improving the Nation’s Cybersecurity」擴展了這種方法，確保聯邦機構的網路安全合約要求得到加強和標準化。繼續透過採購試行其"設定、執行和測試"網路安全要求的新概念可以帶來新穎且可擴展的方法。

當企業向聯邦政府做出遵循網路安全最佳實踐的合約承諾時，他們必須履行這些承諾。民事網路詐欺舉措 (CCFI-Civil Cyber-Fraud Initiative) 利用司法部根據《虛假申報法False Claims Act》的權力對未能履行網路安全義務的政府受贈者和承包商提起民事訴訟。 CCFI 將追究因故意提供有缺陷的網路安全產品或服務、故意歪曲其網路安全實踐或協議、或故意違反監控和報告網路事件和違規行為而使美國資訊或系統面臨風險的法人或個人的責任。

戰略目標3.6: 探索聯邦網路保險保障

當出大包時，美國政府有責任穩定經濟並在不確定的時期提供確定性。如果出大包時，可能會要求聯邦政府穩定經濟並援助復甦。在災難性事件發生之前制定應對措施(另一種說法可以是BCP)，而不是事後急於制定援助方案，可以為市場提供確定性，並使國家更韌性。政府將評估聯邦保險應對災難性網路事件的必要性和可能的結構，以支持現有的網路保險市場。在制定此項評估時，政府將會跟一堆人來喬。