白宫顾问委员会：关键基础设施安全不能指望市场力量

近日，白宫顾问委员会建议美国联邦政府制定新的关键基础设施安全经济激励计划，推动关键基础设施所有者和运营商提高网络安全标准，围绕信息共享制定新的责任保护措施，并简化日益复杂的国家网络安全监管制度。

根据美国国家安全电信咨询委员会（NSTAC）的最新报告，企业（基于商业风险、降本增效）的安全投资理念与美国政府保护关键基础设施网络安全的投资要求存在显著差距，这一差距威胁到了国家的安全态势和应急响应能力。

报告指出，尽管私营部门基于成本效益分析和其他风险管理考虑进行了一定程度的网络安全投资，但这些投资未能达到联邦政府为提高国家安全态势所认为必需的水平。

委员会建议美国国家网络主任办公室与业界合作，研究一系列新的财政激励措施，例如减税和联邦拨款，以帮助缩小网络安全投资缺口。

对于那些资源不足以进行充分网络安全投资的组织，或市场力量未能充分激励其对国家安全或应急响应所进行充分投资的组织，报告强调联邦政府需要提供额外的激励和支持，以鼓励采用网络安全最佳实践。

为此，NSTAC向拜登政府提出了两项优先建议：

• 首先，总统应指示国家网络安全总监办公室（ONCD）与政府和行业利益相关者合作，制定一项战略，就如何通过税收减免或联邦补助等有影响力的财政激励措施，鼓励组织采纳适当的网络安全最佳实践，以有效缩小国家安全和应急响应能力的差距。同时，总统应要求国会授予实施该战略所需的任何权限。
• 其次，总统应指示ONCD与网络安全和基础设施安全局（CISA）、国家安全局（NSA）、国防部（DoD）和国家标准与技术研究院（NIST）等相关联邦机构协调，开发一个面向关键基础设施提供商的全国性教育和推广计划，特别是针对资源匮乏的中小企业，大幅增加这些机构提供的许多免费服务的使用，如CISA的网络卫生服务和其他共享网络安全服务计划、NSA的网络合作中心服务以及NIST的国家网络安全卓越中心（NCCOE）计划。总统还应指示管理和预算办公室（OMB）确保未来的年度预算请求也充分支持这些计划的扩展。

报告强调，公共部门和私营部门在风险评估方面有着本质的不同。对私营部门而言，风险主要是经济问题，安全投资在商业层面进行，因此私营部门将根据经济和商业风险进行网络安全投资。而政府则涉及额外的经济问题，尤其是关于国家安全、经济安全和紧急准备的问题。这种差异导致了政府和私营部门对最佳网络安全投资水平的看法存在差异。

因此，需要额外的激励措施来激励私营部门行动者按照政府认为足以确保其国家安全和其他额外经济优先事项的水平，投资于网络安全最佳实践。根据实体的成熟度或资源，可能需要不同类型的激励措施（启用和激励）。启用激励是帮助较不成熟的组织起步的措施，而激励激励是鼓励已建立网络安全计划的大型组织进行投资的措施。

此外，报告还指出，不同行业的不同激励措施可能会促进或阻碍对网络安全的投资。先前的网络安全经济学研究分析了多种正向激励因素：例如，竞争优势、声誉和品牌、降低运营成本和商业风险，以及作为商业推动器等因素可能促进组织对网络安全的投资。而不明确的安全投资回报、外部化风险、供应商锁定、所有权结构以及不安全技术的隐藏生命周期成本等因素可能成为投资网络安全的负激励因素。

报告最后建议，为了提高网络安全最佳实践的采纳率和监管协调性，总统应指导OMB与ONCD和其他相关联邦实体共同开发一套统一的网络安全采购要求，并鼓励软件制造商将这些学习纳入其安全设计程序中。此外，总统还应指导CISA与关键基础设施部门协调委员会合作，开发涵盖第三方产品或服务的网络安全要求的招标书（RFP）范本，并定期更新这些范本以供任何组织尤其是中小企业自愿使用。

参考链接：

https://www.cisa.gov/sites/default/files/2024-02/2024.02.12_DRAFT_NSTACM%26IReport_508c.pdf