网络安全行政命令,聪明但太模糊

奥巴马总统的行政命令旨在促进依赖工业控制系统的关键基础设施在网络安全问题上的信息共享。许多人认为,它含糊的含义将限制其影响,但同意这是朝着正确方向迈出的一步。

奥巴马3

美国总统巴拉克•奥巴马(Barack Obama)本周签署的网络安全行政命令是一条意图良好的道路,但一些人担心,它的模糊性将限制其影响。然而,专家们一致认为,它的自愿性质是正确的方法。

该命令旨在加强政府和民间之间的信息共享,以加强对发电厂、金融、交通、通信等关键基础设施的网络安全保障。它呼吁通过国家标准与技术研究所(NIST)开发最佳实践框架。

SCADAhacker的Joel Langill表示,对于工业控制系统(ICS)来说,这可能是朝着正确方向迈出的一小步。然而,该订单的覆盖范围非常广泛,因为它涵盖了所有“系统和资产,无论是物理的还是虚拟的”。具体如何转化为ICS内部实际实施的安全控制还不明显,因此可能不会对关键基础设施的所有者和运营商产生太大影响,”Langill说。

由于该命令似乎没有解决控制系统供应商或制造商的角色,“这可能是一个重大的疏忽”,代表了提高抵御网络威胁的弹性的障碍,Langill说。

行政命令没有规定基础设施保护的最低标准,因为任何此类法案都需要国会批准。奥巴马政府去年曾试图通过这样的立法,但由于共和党人的干预而失败。如果这项立法获得通过,它将赋予国土安全部(DoHS)权力,对运行关键基础设施的设备实施安全标准,纽约时报报告。

Langill补充说,DoHS不具备为业主或运营商提供任何价值的知识基础,因为它倾向于关注国家安全问题。

Eric Byres,贝尔登公司Tofino安全部门的首席技术官和联合创始人,说政府扮演“交通警察”的任何尝试都是徒劳的,因为这些法律在实施之前就已经过时了。Byres补充说,除了追究所有公司的过失责任外,政府能做的最好的事情就是促进信息共享和增加资源获取。

行政命令的最终草案预计将在一年内出台。在此期间,NIST将向有意参与未来几个月网络安全研讨会的组织征求公众意见。

然而,Langill认为,所有这些艰苦的工作从长远来看可能不会有回报。他解释说,像这样的命令很容易被下一届政府取消。尽管如此,他表示,该命令仍然可以澄清现有法规,并带来更好的总体ICS安全。

读了完整的行政命令。

更多的在家里