2018年8月14日,美国总统特朗普签署《NIST小企业网络安全法》S. 770(之前的《百姓网络安全法)。该法律要求NIST简明扼要地传播网络安全资源,帮助那些忧心其网络安全风险识别、评估与缓解的小企业。
NIST需提供的资源是信息类的,必须适用于广大小型企业;适应各类小型企业的不同性质和规模;促进网络安全意识和工作场所网络安全文化发展;且要包含实用性的应用策略。这些资源必须技术无关,与现行商用解决方案兼容,尽可能地符合国际标准和1980年的《斯蒂文森技术创新法案》。小型企业自愿采用这些资源,非强制性的。
该两党法案由夏威夷民主党参议员 Brian Schatz 和爱达荷州共和党参议员 James Risch 联合撰写,并受到多州两党参议员的共同支持。
作为商务委员会分管通信技术、创新和互联网的民主党议员,Ssahtz在声明中称:“随着公司企业越来越多地依靠互联网提升运营效率和吸引客户,他们仍将容易遭受网络攻击。但大公司拥有保护自身的资源,而小企业没有,所以小企业便成为了黑客眼中容易得手的目标。这项新的法律将赋予小型企业强化其网络安全基础设施并对抗网络攻击的工具。”
安全行业对该法案持欢迎态度。
SiteLock研究团队成员 Jessica Ortega 解释称:“关注小企业网络安全需求的法案,对保护美国经济重要活动而言十分有必要。小型企业占了美国用工雇主的99.7%(美国小企业管理局(SBA)数据),其中50%之多(美国全国广播公司财经频道(CNBC)数据)遭受过网络攻击。网站平均每天遭受50次攻击一点都不奇怪(SiteLock自己的数据)。”
《NIST小企业网络安全法》旨在通过创建一套易于遵从和实现的基本安全措施指南,为小企业提供网络防御资源。该法案还要求公司培训和职场文化中要纳入安全最佳实践,这在网络威胁持续进化的态势下是非常必要的。
小企业和很多大公司都在艰难地遵从现有的NIST安全框架。新法律的出台为之前认为NIST合规成本太高操作太复杂的小企业设置了更宽广的合规和准备空间。网络安全的基本问题是,小企业自己负担不起广泛的网络安全资源,而且很多小企业依然觉得自己不是网络攻击者的目标。然而,小企业并不能免疫威胁,还常常缺乏保护自身网络所需的IT资源和人手。商业电邮入侵(BEC)和勒索软件就常常直接找上小企业,而作为大公司供应链的一部分,小企业也往往是凭证盗窃和跳板策略的目标。与人们直觉相反的是,成功网络攻击对小企业的影响甚至比对大公司的还大。事实上,最近的报道显示,因为经常沦为网络攻击的目标,且缺乏弹性基础设施以从攻击中恢复,小企业遭受网络攻击所产生的损失从比例上看会更高。
另外,小企业用较低的薪水雇佣兼职灰帽子的网络安全人员,增加了内部人威胁的概率。
虽然安全界普遍欢迎该新法案,但有一个重大缺点不容忽视——小企业是自愿使用该新NIST资源,不是强制使用。
我很好奇这个计划怎么执行。很多小企业都忽视了网络安全,因为他们没意识到,也不理解网络安全风险。所以,他们甚至都不会去找解决方案。于是,既然他们现在都没去找解决方案,又怎么会去寻求这些新的NIST资源呢?
该法案似乎没规定怎么联系或鼓励小企业应用安全资源,只要求NIST以指南、方法学和其他在线信息的形式提供这些资源。如果不以更主动的方式让小企业参与进来,他们很可能错失这一机会而依然暴露在风险之中。焦虑的CISO们经常抱怨,“只要不是规定,基本没人遵守”。或许,下一步计划就是推出一个能被审计的小企业网络安全框架。这样一来,大公司就能要求合作的小企业必须遵从该NIST小企业网络安全框架了。不过,即便这样也会产生一些问题。有绝佳新创意的小企业还会继续以发展创意为优先而无视固有安全,而大公司不得不在不合规范的绝佳新创意和合乎规范的较老解决方案之间选择。对希望改善自身网络安全的小企业而言,该新法案是个很好的助力。但如果只是基于自愿而没有强制要求,那这个新法案未必能大幅提升整体网络安全态势。