美國的國家級網路安全戰略Part 2

支柱一：保衛關鍵基礎設施

美國政府會保衛關鍵基礎設施（油/水/電）讓美國人隨時可以使用。美國人要相信＂有政府，好安心＂，可以無憂無慮的用這一些關鍵基礎設施。美國政府會公平地分配風險和責任（看誰要站出來認），並為美國的數位生態系統提供基礎水準的安全性和彈性。

讓關鍵基礎設施很難被攻破或攻擊的代價很高，這樣的防禦才會有效，所以政府又要搞新的合規了。找一堆人(包含公部門與私人企業)來喬這一個新的網路安全監管框架，重點關注實現安全成果並實現營運和功能的連續性，同時促進協作和創新。意思可能是又要馬兒好又要馬耳不吃草。

美國政府說必須建立新的創新能力，使關鍵基礎設施的老闆、聯邦機構、產品供應商和服務提供者以及其他利害關係人能夠快速、大規模地有效地相互協作。就是要大家一起協同作業，出事的時候，聯邦政府的回應作業必須與私人公司以及各個地方政府 合作夥伴協調並緊密結合

最後，美國聯邦政府可以透過提高自己系統的防禦能力和韌性來更好地支援關鍵基礎設施的防禦。拜登政府致力於透過長期努力實施零信任架構策略並實現 IT 和 OT 基礎設施現代化來改善聯邦網路安全。在此過程中，聯邦網路安全可以成為美國各地關鍵基礎設施的成功範本，大家就照抄。

戰略目標 1.1: 制定網路安全要求以支援國家安全和公共安全

美國人必須對支撐他們生活和國家經濟的關鍵基礎服務有信心。雖然關鍵基礎設施網路安全的自願性方法已經產生了有意義的改進(也就是老闆想到或出事才會做)，因為沒這些規定、沒要求所以導致了結果不夠好並且成果經常不一致。當今的經濟市場對關鍵基礎設施的老板的回報不夠，而且常常處於不利地位，老闆不太想投資於主動防禦措施來預防或減輕網路事件的影響。

所以接下來要監管，因為可以創造公平的競爭環境，在不犧牲網路安全或營運彈性的情況下實現良性競爭。美國政府所製造的戰略性環境需要針對每個產業或單位的風險狀況量身訂做一個靈活的網路安全監管框架，協調一致以減少重複，強化公私部門合作，並認知到實施成本($$)。這個新的網路安全法規必須經過調整，以滿足國家安全和公共安全的需求，以及個人、受監管單位及其員工、客戶、營運和資料的安全和保障。

最具效能與效率的監管框架將是在危機發生之前就制定的監管框架，而不是在危機發生後實施緊急監管。這一句是真話。

制定網路安全法以保護關鍵基礎設施

聯邦政府將利用現有權力在關鍵部門制定必要的網路安全要求。如果聯邦部門和機構在實施最低網路安全要求或管不到相關經濟市場失靈面向的權力，政府將與國會合作彌補這些管不到的。

監管應以績效為基礎，利用現有的網路安全框架、自願共識標準和指南，包括網路安全和基礎設施安全局(CISA) 的Cybersecurity Performance Goals以及美國國家標準與技術研究所(NIST) Improving Critical Infrastructure Cybersecurity－並且足夠靈活，能夠因為駭客的能力增強進而去適應並改變策略的情況。在為關鍵基礎設施制定網路安全法規時，鼓勵監管機構推動採用安全設計原則，優先考慮基本服務的可用性(availability)，並確保系統設計為能夠安全故障(fail safely)並快速恢復。監管將定義最低預期網路安全實踐或結果，但美國政府鼓勵並將支持各公私部門進一步努力超越這些要求。

一堆公部門與私人企業長久以來都依賴第三方服務提供者的網路安全和韌性。雲端服務可以大規模實現更好、更經濟的網路安全實踐，但雲端服務對於許多關鍵基礎設施部門的營運韌性也至關重要。政府將找出現行的差距，以推動雲端運算產業和其他重要第三方服務更好的網路安全實踐，並與產業、國會和監管機構合作來彌補這些差距(但大型雲端業者其實已經遵循了一大堆的網路安全標準，不知道還要搞多少監管進來)。

協調並簡化新法規和現有法規

雖然法規很煩人，但有效的法規可以最大限度地減少合規成本和負擔，使組織能夠投入資源來建立韌性並保護其系統和資產。透過以符合現行政策和法律的方式利用現有國際標準，監管機構可以最大限度地減少特別要求的負擔，並減少監管協調的需要。

如果聯邦法規相互衝突、疊床架屋，監管機構必須想辦法，盡量減少這些麻煩。必要時，美國的長臂管轄可能會出現，來防止網路安全要求阻礙數位貿易流動。在可行的情況下，監管機構要想辦法協調法規和規則，還要協調受監管實體的評估和稽核。 ONCD 將與管理和預算辦公室 (OMB) 協調，領導政府在網路安全監管協調方面的工作。網路事件報告委員會將協調、消除衝突並統一聯邦事故報告要求。

使受監管實體能夠提供安全保障

不同的關鍵基礎設施部門可以花在資安的預算很不一樣，從無法在不干預的情況下輕易增加投資的低利潤產業(如製造業)，到可以花大錢改善網路安全的邊際成本的產業(如金融業)。在某些產業，監管可能是必要的，以創造一個公平的競爭環境，這樣公司就不會陷入競爭而在網路安全方面花費不足。在其他領域，鼓勵監管機構確保透過一些誘因來制定流程、減稅或其他機制來激勵網路安全的必要投資。在制定新的網路安全要求時，鼓勵監管機構諮詢受監管產業，以了解如何為這些要求提供資源。在尋求新的監管機構時，美國政府將與國會合作制定監管框架，並考量實施這些框架所需的資源。

戰略目標 1.2: 擴大公部門與私人單位合作

保護關鍵基礎設施免受駭客和其他威脅需要模擬網際網路分散式結構的網路防禦模型。美國政府將透過結構化的R&R(Role & Responsibilitty)還有透過情報交換(自動化的)來發展和加強防禦者之間的協作，從而實現這種分散式網際網路模型。意思就是要出動一堆政單位來協助大家。

目標是將組織協作和技術支援的連接相結合，進而建立一個基於信任的“網路的網路(network of networks)”，建立態勢感知(situational awareness)並推動保護關鍵基礎設施的網路防禦者之間的集體和同步行動。

CISA 是關鍵基礎設施安全和韌性的國家級協調者。在此角色中，CISA 與產業風險管理機構 (SRMA) 進行協調，使聯邦政府能夠擴大與美國各地關鍵基礎設施老闆的協調。 SRMA 具有日常責任和特定部門的專業知識，以提高其產業內的安全性和韌性。反過來，SRMA 支援各自產業的公司老闆，他們負責保護其營運的系統和資產。資訊共享和分析組織 (ISAO)、以產業為中心的資訊共享和分析中心 (ISAC) 以及類似組織促進跨廣闊而複雜的部門的網路防禦行動。因為目前這些單位都已經有在做事了。聯邦政府將繼續強化CISA 與其他 SRMA 之間的協調，並繼續撒幣讓大家有錢繼續做事。

加速防禦協作需要使用技術解決方案來分享資訊並協調防禦工作。所以這些情報分享需要人與機器/人與人/機器與機器的大量協作。實現此模型將實現即時、可運作和多向共享，以機器速度(也就是自動化SOAR)推動威脅回應。 CISA 和 SRMA 將與私人企業合作，探索技術和組織機制，以增強和發展機器與機器的資料共享。聯邦政府也將深化與軟體、硬體和託管服務供應商的營運和策略合作，以重塑網路格局，以提高安全性和韌性。

戰略目標 1.3: 整合聯邦網路安全中心

美國聯邦政府會有一個聯邦網路安全中心(Federal Cybersecurity Centers)作為協作節點，整合政府在國土防禦、執法、情報、外交、經濟和軍事任務方面的整體能力。它們推動政府內部協調，並使聯邦政府能夠有效、果斷地支持非聯邦政府的合作夥伴。有以下幾個單位:

1. CISA的JCDC(Joint Cyber Defense Collaborative)，以整合聯邦政府以及私人企業和國際合作夥伴的網路防禦規劃和運作
2. NCIJTF(National Cyber Investigative Joint Task Force)協調執法和其他破壞事件的能力
3. CTIIC(Cyber Threat Intelligence Integration Center)在協調情報收集、分析和夥伴關係方面的作用

SRMA 的營運協作模型會在以下幾個單位運作:

1. 能源部 (DOE) 的ETAC(Energy Threat Analysis Center)
2. 國防部的DCISE(Defense Industrial Base Collaborative Information Sharing Environment)
3. 國家安全局 (NSA) 的網路安全協作中心(Cybersecurity Collaboration Center)

這些單位都會隨時跳出來支援非聯邦政府單位(會管到海邊)進行及時、可運作和相關的資訊分享。

戰略目標 1.4: 更新聯邦政府的事故回應計劃和流程

有錢的私人企業大部分有能力在沒有聯邦政府直接幫助的情況下緩解大多數網路事件。當需要聯邦政府幫助時，聯邦政府必須提出統一、協調、整個政府的回應措施。受到網路威脅的組織必須知道出於何種目的應聯絡哪些政府機構。聯邦政府必須就私人企業合作夥伴如何在網路事故期間向聯邦機構尋求支援以及聯邦政府可以提供哪些形式的支援提供明確的指導。

總統政策指令 41號“美國網路事件協調”，這個指令定義了司法部 (DOJ)、國土安全部 (DHS) 和國家情報總監辦公室在威脅、資產方面的主導作用和情報回應工作 — — CISA將帶頭更新NCIRP(National Cyber Incident Response Plan)，來加強流程、程序和系統，以更充分地實現「a call to one is a call to all」的政策」。當任何聯邦機構收到援助請求時，該機構將知道聯邦政府可以提供哪些支援，如何聯繫可以提供此類支持的正確聯邦單位，並獲得有效的資訊共享機制。由於大多數聯邦應對措施都是透過外地辦事處進行的，NCIRP 將借鑒聯合恐怖主義特別工作小組的成功經驗，加強地方層級的協調。

出包的時候，《2022 年關鍵基礎設施網路事件報告法案》(CIRCIA) 將提高聯邦政府有效應對的意識和能力。 CIRCIA將要求關鍵基礎設施產業的相關組織在幾個小時內向 CISA回報涵蓋的資安事故。這些及時的通知以及 CISA 與司法部和其他事故回應利害關係人快速共享相關資訊將加強集體防禦(台灣也有類似的單位)，改善確定事故根本原因的作業，並為政府內部決策提供如何應對的資訊。 CISA 將在 CIRCIA 規則制定和實施過程中與 SRMA、DOJ 和其他聯邦機構協商，以整合資安事故報告系統並確保所有相關事件資訊的即時共享和行動。

出大包後，聯邦政府將確保CSRB(Cyber Safety Review Board)會有經驗教訓可以學習。 CSRB是根據EO 14028「改善國家網路安全」成立，匯集了公部門和私人產業的網路安全領導者，負責審查重大網路事故、進行具權威性的事實調查、產生可為產業補救提供資訊和指導的見解，並提供改善國家網路安全的建議。政府要立法，將 CSRB 編入國土安全部，並為其提供對重大事故能管到海邊所需的權力。

戰略目標 1.5: 現代化聯邦政府的防禦

聯邦政府需要安全且有韌性的"資訊、通訊以及營運技術和服務”，這一屆的拜登政府為聯邦網路安全制定了新的戰略方向，發布了EO 14028“改善國家的網路安全”，隨後發布了NSM 8(Improving the Cybersecurity of National Security, the Defense Department, and Intelligence Community Systems)和 OMB 聯邦零信任架構策略。

在此動能的基礎上，聯邦政府將根據零信任原則來推動資安，捍衛美國的相關部門並實現聯邦系統現代化，零信任原則承認必須在傳統網路邊界內外應對威脅。透過使自己的網路更具防禦性和韌性，聯邦政府將成為私人企業效仿的典範。

共同捍衛聯邦民間機構

聯邦民間行政部門 (FCEB) 機構負責管理和保護自己的 IT 和 OT 系統。由於機構的架構、使命、能力和資源不同，FCEB 網路安全結果也各不相同。需要繼續建立聯邦網路安全模型，平衡各個機構的權力和能力與透過集體防禦方法實現的安全效益。

將繼續透過聯邦政府的集中行動來增強聯邦凝聚力。 OMB 將與 CISA 協調，制定一項行動計劃，透過集體作戰防禦、擴大集中共享服務的可用性以及緩解軟體供應鏈風險來確保 FCEB 系統的安全。這些努力將建立在先前計劃的基礎上，並優先採取行動，推動整體政府方法來保護 FCEB 資訊系統。與 NIST 協調制定的軟體供應鏈風險緩解目標將建立在 EO 14028「改善國家網路安全」的實施基礎上，包括

1. 軟體物料清單 (SBOM) 工作
2. NIST 的安全軟體開發框架和相關工作提高開源軟體的安全性

現代化聯邦政府的系統

聯邦政府要花錢更換或更新無法抵禦複雜網路威脅的 IT 和 OT 系統。 OMB 零信任架構策略指導 FCEB 機構實施

1. 多因素身份驗證(MFA)
2. 加密資料
3. 整個攻擊面的可見性(visibility)
4. 管理授權和存取以及採用雲端安全工具

聯邦政府的 IT 和 OT 系統會現代化，使其能夠利用關鍵的安全技術，否則這些和其他網路安全目標就無法實現。 OMB 將帶頭制定一項長年的生命週期計劃，以加速 FCEB 技術現代化，優先考慮消除維護成本高且難以防禦的老舊系統的。該計劃將會有milestone，在十年內下線所有無法實施零信任架構策略的老舊系統，或以其他方式減緩在該時間範圍內無法替換的系統的風險。以更安全的技術取代老舊系統，包括加速遷移到基於雲端的服務，將提升整個聯邦政府的網路安全態勢，進而提高其向美國人民提供的數位服務的安全性和韌性。

防衛National security systems

NSS(National security systems)儲存和處理聯邦政府的一些最敏感的數據，必須防範各種網路和物理威脅，包括內部威脅、網路犯罪分子和對美國有敵意的國家。 NSA(國安局) 總監作為 NSS 的主管，將與 OMB 協調 FCEB 機構的 NSS 計劃，以確保實施 NSM-8 的強化網路安全要求。