隨著全球網(wǎng)絡(luò)空間威脅態(tài)勢變得更加復(fù)雜和嚴(yán)峻,網(wǎng)絡(luò)安全已穩(wěn)步上升到全球各國政府的議程,成為數(shù)字時代全球政府治理的核心議題之一。2021年各國政府紛紛推出旨在解決威脅個人和組織的網(wǎng)絡(luò)安全問題的舉措。
Forrester的安全和風(fēng)險(xiǎn)分析師Steve Turner指出:“政府主導(dǎo)的網(wǎng)絡(luò)安全計(jì)劃對于解決網(wǎng)絡(luò)安全問題至關(guān)重要,例如破壞性攻擊、大規(guī)模數(shù)據(jù)泄露、糟糕的安全態(tài)勢以及對關(guān)鍵基礎(chǔ)設(shè)施的攻擊。這些舉措為組織和消費(fèi)者如何保護(hù)自己提供了一致的指導(dǎo),為沒有知識或金錢手段來保護(hù)自己的公司提供服務(wù),可以利用的立法杠桿,對國家黑客采取進(jìn)攻性行動,最重要的是,對重大網(wǎng)絡(luò)事件的調(diào)查以及在這些事件期間或之后的關(guān)鍵信息共享。”
以下是GoUpSec整理的2021年世界各國政府推出的十大最著名的網(wǎng)絡(luò)安全政策法規(guī)和舉措:
一、中國網(wǎng)絡(luò)安全法規(guī)條例密集施行
9月1日注定是中國網(wǎng)絡(luò)安全歷史上一個重要里程碑,這一天《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》開始施行,此外,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,也是9月1日開始實(shí)施。
萬眾矚目的《個人信息保護(hù)法》則定于今年11月1日開始施行。與較早發(fā)布的《中華人民共和國網(wǎng)絡(luò)安全法》一起,形成了圍繞《中華人民共和國國家安全法》的較為完善的法律體系和頂層設(shè)計(jì),全面維護(hù)國家安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息權(quán)益。
二、美國國防部發(fā)布網(wǎng)絡(luò)安全成熟度模型認(rèn)證
今年1月,美國國防部(DoD)發(fā)布了網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC),這是在整個國防工業(yè)基地(DIB)實(shí)施網(wǎng)絡(luò)安全的統(tǒng)一標(biāo)準(zhǔn),其中包括供應(yīng)鏈中的30多萬家公司。CMMC借鑒并結(jié)合了各種網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和最佳實(shí)踐,映射了從基本到高級網(wǎng)絡(luò)安全的多個成熟度級別的控制和流程。
“對于給定的CMMC級別,相關(guān)控制和流程在實(shí)施后將降低針對特定網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn),”負(fù)責(zé)采購和維持的國防部副部長辦公室網(wǎng)站上寫道。“CMMC的工作建立在基于信任的現(xiàn)有法規(guī)(DFARS 252.204-7012)之上,通過添加與網(wǎng)絡(luò)安全要求相關(guān)的驗(yàn)證組件。”CMMC旨在為所有組織提供具有成本效益和負(fù)擔(dān)得起的費(fèi)用,授權(quán)和認(rèn)可的CMMC第三方進(jìn)行評估并向適當(dāng)級別的DIB公司頒發(fā)CMMC證書。
CREST的美國主席Tom Brennan認(rèn)為:CMMC可能是美國2021年最重要的政府網(wǎng)絡(luò)安全計(jì)劃。“長期以來,國防部一直告訴DIB承包商,他們必須遵守NIST標(biāo)準(zhǔn),但與此特定控制相關(guān)的認(rèn)證、執(zhí)法或?qū)徲?jì)為零,因此它失敗了。CMMC非常重要,因?yàn)樗婕胺稍u估,以從安全角度測試政府承包商是否按照他們所說的去做,如果他們未能滿足CMMC要求,他們將失去合同。
CMMC也越來越受到網(wǎng)絡(luò)安全行業(yè)的關(guān)注,因?yàn)樵S多審計(jì)公司和服務(wù)提供商意識到這是一個搖錢樹。
三、西班牙政府向網(wǎng)絡(luò)安全行業(yè)投入4.5億歐元,開設(shè)黑客學(xué)院
今年4月,西班牙數(shù)字化和人工智能國務(wù)秘書Carme Artigas透露,西班牙政府將在三年內(nèi)投資超過4.5億歐元,以促進(jìn)該國的網(wǎng)絡(luò)安全部門。Artigas還宣布為14歲及以上的西班牙居民開設(shè)在線黑客學(xué)院,以培訓(xùn)和吸引人才。該培訓(xùn)計(jì)劃于5月3日至6月25日以在線形式運(yùn)行,數(shù)百名參與者參加網(wǎng)絡(luò)安全挑戰(zhàn)。
西班牙國家網(wǎng)絡(luò)安全研究所(INCIBE)將監(jiān)督網(wǎng)絡(luò)安全支出的新戰(zhàn)略計(jì)劃,解決促進(jìn)該行業(yè)商業(yè)生態(tài)系統(tǒng)和吸引人才、加強(qiáng)個人、中小企業(yè)和專業(yè)人士的網(wǎng)絡(luò)安全以及鞏固西班牙作為國際網(wǎng)絡(luò)安全中心。
四、拜登發(fā)布網(wǎng)絡(luò)安全總統(tǒng)行政命令,強(qiáng)推零信任架構(gòu)
5月,拜登政府發(fā)布了一項(xiàng)大膽的網(wǎng)絡(luò)安全行政命令,以制定“改善國家網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)的新路線”。該文件是在對SolarWinds和Microsoft的重大供應(yīng)鏈攻擊以及對Colonial Pipeline的勒索軟件攻擊之后發(fā)布的。
該行政命令旨在最大限度地減少此類事件的頻率和影響,提出了一系列加強(qiáng)聯(lián)邦機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全的建議,包括:
●消除政府和私營部門之間威脅信息共享的障礙
●在聯(lián)邦政府中現(xiàn)代化和實(shí)施更嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
●提高軟件供應(yīng)鏈安全性
●建立網(wǎng)絡(luò)安全審查委員會
●提高圍繞網(wǎng)絡(luò)安全事件的檢測、調(diào)查和補(bǔ)救能力。
“網(wǎng)絡(luò)安全行政命令迅速要求各機(jī)構(gòu)通過引入零信任架構(gòu)、增強(qiáng)技術(shù)采購、開發(fā)軟件物料清單(SBOM)要求、遷移到云等等來實(shí)現(xiàn)安全態(tài)勢現(xiàn)代化,”特納說。“這將對其他國家和組織產(chǎn)生廣泛的下游影響,因?yàn)樗鼘⑵仁乖S多與政府有業(yè)務(wù)往來的供應(yīng)商和公司采取特定的安全措施,并擁有其他組織能夠掌握的特定數(shù)據(jù)。”
五、澳大利亞政府推出關(guān)鍵基礎(chǔ)設(shè)施提升計(jì)劃
5月,澳大利亞政府推出了關(guān)鍵基礎(chǔ)設(shè)施提升計(jì)劃(CI-UP),以識別和解決關(guān)鍵基礎(chǔ)設(shè)施中的漏洞,通過評估現(xiàn)有安全計(jì)劃和實(shí)施建議的風(fēng)險(xiǎn)緩解策略,幫助提供商提高網(wǎng)絡(luò)安全成熟度。模塊化網(wǎng)絡(luò)安全計(jì)劃向作為ACSC合作伙伴的關(guān)鍵基礎(chǔ)設(shè)施實(shí)體開放,旨在:
●結(jié)合網(wǎng)絡(luò)安全能力和成熟度模型(C2M2)和Essential 8成熟度模型,評估具有國家意義的關(guān)鍵基礎(chǔ)設(shè)施和系統(tǒng)的網(wǎng)絡(luò)安全成熟度
●提供優(yōu)先的脆弱性和風(fēng)險(xiǎn)緩解策略
●協(xié)助合作伙伴實(shí)施建議的風(fēng)險(xiǎn)緩解策略
“隨著對電網(wǎng)和管道等關(guān)鍵基礎(chǔ)設(shè)施的攻擊越來越多,這是一項(xiàng)非常重要的服務(wù),可以幫助實(shí)體快速提高安全狀況,”特納說。
六、美國立法者提出美國網(wǎng)絡(luò)安全素養(yǎng)法案
6月,眾議院兩黨議員提出了一項(xiàng)關(guān)于《美國網(wǎng)絡(luò)安全素養(yǎng)法案》的提案,這是一項(xiàng)旨在提高美國互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全意識和數(shù)據(jù)安全知識的新立法。該法案目前正在接受眾議院能源和商務(wù)委員會的審查,該法案規(guī)定美國在促進(jìn)網(wǎng)絡(luò)安全素養(yǎng)方面具有國家安全和經(jīng)濟(jì)利益,并規(guī)定通信和信息部助理部長應(yīng)制定和開展最佳網(wǎng)絡(luò)安全素養(yǎng)運(yùn)動。降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)踐。
美國網(wǎng)絡(luò)安全素養(yǎng)法案如果獲得通過,將重點(diǎn)關(guān)注網(wǎng)絡(luò)釣魚的威脅以及每個人都需要盡可能啟用和使用多因素身份驗(yàn)證(MFA)。”
七、法國政府發(fā)布網(wǎng)絡(luò)攻擊警報(bào)系統(tǒng)
7月,法國政府為中小企業(yè)啟動了新的預(yù)警系統(tǒng),以在發(fā)生網(wǎng)絡(luò)攻擊時為其提供支持,告知企業(yè)應(yīng)對事件應(yīng)采取的行動。該系統(tǒng)由負(fù)責(zé)數(shù)字轉(zhuǎn)型和電子通信的國務(wù)卿Cédric O以及其他高級官員介紹。
根據(jù)政府新聞稿,當(dāng)檢測到對中小型公司特別重要的漏洞或攻擊活動時,國家受害者援助系統(tǒng)和國家安全局會向商業(yè)領(lǐng)袖發(fā)布簡短易懂的通知。信息系統(tǒng)(ANSI)。然后將其傳送給包括跨專業(yè)組織、工商會(CCI)和貿(mào)易和手工藝商會(CMA)的領(lǐng)事網(wǎng)絡(luò)在內(nèi)的機(jī)構(gòu),然后盡可能廣泛地轉(zhuǎn)發(fā)給商界領(lǐng)袖。法國政府認(rèn)為,信息速度和立即采取行動的能力將使公司能夠更好地保護(hù)自己,從而限制網(wǎng)絡(luò)攻擊對法國經(jīng)濟(jì)結(jié)構(gòu)的影響。
八、英國國防部完成首個漏洞賞金計(jì)劃
8月,英國國防部(MoD)宣布完成其首個漏洞賞金計(jì)劃。它與HackerOne合作,邀請道德黑客參加為期30天的挑戰(zhàn),以調(diào)查和識別其數(shù)字資產(chǎn)中需要修復(fù)的漏洞,允許他們直接訪問其內(nèi)部系統(tǒng)。該計(jì)劃旨在幫助國防部更好地保護(hù)和捍衛(wèi)其網(wǎng)絡(luò)系統(tǒng)和750,000臺設(shè)備,遵循英國政府的新網(wǎng)絡(luò)戰(zhàn)略(于3月發(fā)布),以增強(qiáng)該國在日益數(shù)字化的世界中的網(wǎng)絡(luò)實(shí)力。
在項(xiàng)目結(jié)束時,英國國防部首席信息安全官克里斯汀·麥克斯韋(Christine Maxwell) 表示,國防部已采用安全設(shè)計(jì)戰(zhàn)略,透明度是確定開發(fā)過程中需要改進(jìn)的領(lǐng)域不可或缺的一部分。“對我們來說,繼續(xù)突破數(shù)字和網(wǎng)絡(luò)發(fā)展的界限以吸引具有技能、精力和承諾的人員,這一點(diǎn)很重要,”她補(bǔ)充道。“與道德黑客社區(qū)合作使我們能夠建立我們的技術(shù)人才平臺,并帶來更多樣化的觀點(diǎn)來保護(hù)和捍衛(wèi)我們的資產(chǎn)。了解我們的漏洞所在并與更廣泛的道德黑客社區(qū)合作來識別和修復(fù)它們,是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)和提高彈性的重要一步。”
同月,國防部還呼吁初創(chuàng)公司設(shè)計(jì)新一代安全硬件和軟件,以幫助軍方減少網(wǎng)絡(luò)攻擊面,為一份為期9個月的合同提供高達(dá)30萬英鎊的資金。
九、意大利政府成立國家網(wǎng)絡(luò)安全機(jī)構(gòu)
8月,意大利議會批準(zhǔn)了政府建立一個新的網(wǎng)絡(luò)安全機(jī)構(gòu)以打擊針對國家的網(wǎng)絡(luò)攻擊的計(jì)劃,這是為該國創(chuàng)建安全、統(tǒng)一的云基礎(chǔ)設(shè)施的宏大戰(zhàn)略的一部分。意大利政府6月首次宣布,Agenzia per la Cybersicurezza Nazionale (ACN)最初將由300名員工組成,目標(biāo)是到2027年達(dá)到1,000名員工。它將由信息安全部(DIS)副局長羅伯托·巴爾迪尼(Roberto Baldini)領(lǐng)導(dǎo)。其各種目標(biāo)包括在網(wǎng)絡(luò)安全領(lǐng)域行使國家權(quán)力機(jī)構(gòu)的職能,提高國家預(yù)防、監(jiān)測、檢測和緩解能力以應(yīng)對網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)攻擊,并為提高信息和通信技術(shù)系統(tǒng)的安全性做出貢獻(xiàn)。
Blackberry歐洲、中東和非洲地區(qū)副總裁Adam Bangle表示,意大利政府新的國家網(wǎng)絡(luò)安全雄心的成功將取決于它能否實(shí)現(xiàn)關(guān)鍵目標(biāo)。“首先是安全標(biāo)準(zhǔn)化。建立安全標(biāo)準(zhǔn)和安全軟件開發(fā)原則,在整個系統(tǒng)中實(shí)行零信任,并確保實(shí)施和執(zhí)行每個安全協(xié)議以避免邊界防御中的任何盲點(diǎn),應(yīng)該成為任何國家網(wǎng)絡(luò)戰(zhàn)略的組成部分。其次,也是最重要的一點(diǎn),他們必須對網(wǎng)絡(luò)安全采取主動、基于預(yù)防的安全態(tài)勢。”
十、英國政府啟動Cyber Runway業(yè)務(wù)增長計(jì)劃
8月,英國政府公布了旨在促進(jìn)英國網(wǎng)絡(luò)安全部門增長的Cyber Runway項(xiàng)目。Cyber Runway將助推全國各地的企業(yè)家和企業(yè)獲得商業(yè)培訓(xùn)指導(dǎo)、產(chǎn)品開發(fā)支持、社交活動以及支持國際貿(mào)易和安全投資,以便他們能夠?qū)⑺麄兊南敕ㄞD(zhuǎn)化為商業(yè)成功。
英國數(shù)字基礎(chǔ)設(shè)施部長馬特·沃曼(Matt Warman)表示,該項(xiàng)目將解決增長障礙、增加投資,并為公司提供重要支持,以將其業(yè)務(wù)提升到一個新的水平。“該計(jì)劃還將支持來自不同背景的創(chuàng)始人和創(chuàng)新者——針對來自英國網(wǎng)絡(luò)領(lǐng)域代表性不足的群體的申請人,例如女性以及來自黑人、亞洲和少數(shù)族裔背景的人。”
Cyber Runway旨在在六個月內(nèi)支持160家公司,由數(shù)字、文化、媒體和體育部(DCMS)資助,并得到CyLon、德勤和安全信息技術(shù)中心(CSIT)的支持。CyLon首席執(zhí)行官尼克莫里斯補(bǔ)充說:“英國的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)正處于發(fā)展的關(guān)鍵和激動人心的時刻,大流行帶來了新的挑戰(zhàn)和新的機(jī)遇。”“Cyber Runway將支持英國的創(chuàng)新者開發(fā)關(guān)鍵的安全技術(shù),以保護(hù)我們數(shù)字經(jīng)濟(jì)的未來。”
