美国总统巴拉克•奥巴马(Barack Obama)本周签署的网络安全行政命令是一条意图良好的道路,但一些人担心,它的模糊性将限制其影响。然而,专家们一致认为,它的自愿性质是正确的方法。
该命令旨在加强政府和民间之间的信息共享,以加强对发电厂、金融、交通、通信等关键基础设施的网络安全保障。它呼吁通过国家标准与技术研究所(NIST)开发最佳实践框架。
SCADAhacker的Joel Langill表示,对于工业控制系统(ICS)来说,这可能是朝着正确方向迈出的一小步。然而,该订单的覆盖范围非常广泛,因为它涵盖了所有“系统和资产,无论是物理的还是虚拟的”。具体如何转化为ICS内部实际实施的安全控制还不明显,因此可能不会对关键基础设施的所有者和运营商产生太大影响,”Langill说。
由于该命令似乎没有解决控制系统供应商或制造商的角色,“这可能是一个重大的疏忽”,代表了提高抵御网络威胁的弹性的障碍,Langill说。
行政命令没有规定基础设施保护的最低标准,因为任何此类法案都需要国会批准。奥巴马政府去年曾试图通过这样的立法,但由于共和党人的干预而失败。如果这项立法获得通过,它将赋予国土安全部(DoHS)权力,对运行关键基础设施的设备实施安全标准,纽约时报报告。
Langill补充说,DoHS不具备为业主或运营商提供任何价值的知识基础,因为它倾向于关注国家安全问题。
Eric Byres,贝尔登公司Tofino安全部门的首席技术官和联合创始人,说政府扮演“交通警察”的任何尝试都是徒劳的,因为这些法律在实施之前就已经过时了。Byres补充说,除了追究所有公司的过失责任外,政府能做的最好的事情就是促进信息共享和增加资源获取。
行政命令的最终草案预计将在一年内出台。在此期间,NIST将向有意参与未来几个月网络安全研讨会的组织征求公众意见。
然而,Langill认为,所有这些艰苦的工作从长远来看可能不会有回报。他解释说,像这样的命令很容易被下一届政府取消。尽管如此,他表示,该命令仍然可以澄清现有法规,并带来更好的总体ICS安全。
读了完整的行政命令。
![图像数字双胞胎[1]](https://img.automationworld.com/files/base/pmmi/all/image/2021/08/image_digital_twins_1_.611ed6baecbce.png?auto=format%2Ccompress&fit=crop&h=146&q=70&w=340)
