提升网络安全管理的法案

关键要点

• 加州众议员埃里克·斯沃威尔提出了一项法案，旨在赋予国家网络主任办公室更明确的权力，以解决不同联邦机构之间的网络管辖权争议。
• 该法案还要求各部门和机构定期对高风险政府系统进行渗透测试，并向国家网络主任办公室及管理和预算办公室报告测试结果。
• 法案将促使对网络犯罪的主动防护，强调在事件发生前进行漏洞评估和保护措施的必要性。

加州的众议员埃里克·斯沃威尔提出了一项法案，旨在赋予国家网络主任办公室（ONCD）明确的权力，以解决不同联邦机构之间的网络管辖权争议。该法案名为《2022年主动网络倡议法》，旨在增强ONCD的能力，使其能够有效管理网络安全政策中的交集区域。

国家网络主任办公室成立的部分原因是为了统一不同民用机构在网络安全政策中的角色与责任。虽然在成立之初，该办公室的任务是协调民用机构的网络安全工作，但实际上，它的权力相对有限，仅能审查预算并向各机构或白宫提出建议。

该法案将明确规定ONCD负责“化解各机构在网络安全活动中的重叠管辖权及减轻风险的权力”。此外，法案还将要求每个部门和机构对中高风险的政府系统进行定期渗透测试，并向ONCD及管理与预算办公室报告测试结果。尽管各民用机构已经根据网络安全与基础设施安全局的强制性操作指令需要优先保护高价值系统及数据，但这些测试结果将在多份报告中被用于评估是否需要额外的法律或权力。

法案还将促使国家网络主任、国防部、情报机构以及其它机构对政府采用主动防御技术，如欺骗技术和持续监控解决方案的使用进行研究，向国会提交报告。

斯沃威尔在一份声明中表示：“网络犯罪正日益对美国家庭、企业和政府机构构成严重威胁。长期以来，我们只能在发生漏洞后才来处理问题。我的法案将关注点转向更积极、创新的措施，以保护我们最重要的基础设施。”

不只是审查机构的网络安全预算

自从通过网络空间联盟委员会首次提出ONCD的概念以来，关于该职位应具备何种强硬权力的辩论一直持续。该法案赋予该办公室审查机构网络安全预算的能力，并且这据了解正在引领联邦政府的网络安全新战略。然而，除此之外，几乎没有任何约束机制迫使各机构遵从。

法律专家德文·德巴克（DevinDeBacker）曾在《法律战争》上写道：“尽管主任在《2021财年国防授权法案》中有一长串法定职责，但这些职责无非是大多数总统顾问的建议和协调功能，并没有更大的实质性权力。”

尽管国家网络主任克里斯·英格利斯（ChrisInglis）一直以协调联邦机构、关键基础设施和私营部门之间的关系为己任，并多次谈到在网络空间中明确不同角色和责任的重要性，但他在面对网络法域争端解决时，有时也表示过犹豫。他曾指出，现代IT和操作技术的复杂性，以及公私部门在所有权和责任上的分散，使得任何一个实体都难以施行自上而下的解决方案或政策。

“华盛顿常听到这样的问题：在这一领域中，到底谁在掌握权力？”英格利斯在4月的全球隐私峰会上表示，“人们认为，如果能够建立一个层级体系，将所有机构纳入某个‘总管’，或许就能在每个时刻发号施令，从而解决问题。但在这一复杂多样的空间中，这是行不通的。”