美国不同联邦机构采购的网络安全要求高低不一,国防部、总务管理局、国家航空航天局联合发布拟议规定,将修订《联邦采购规则》,提出一套适用于联邦信息系统的网络安全基线要求。
10月8日消息,拜登政府针对各联邦部门拟定了一套全新标准化网络安全采购要求,适用于与非机密联邦信息系统合作的承包商。
《联邦公报》10月3日发布的通告称,这项拟议规定将对《联邦采购规则》(FAR)进行修订,为联邦信息系统相关合同设定网络安全最低要求,各机构不得再自行设定要求。通告称,云系统和本地系统的合同要求将有所不同。
一旦新要求生效,各机构将需要更新各自合同的网络安全要求。他们需要删除与新版《联邦采购规则》最低要求重复的规定,但可以保留高于最低要求的其他规定。
目前,不同联邦机构合同的网络安全要求各异。这带来了多种风险,包括合同之间安全要求不一致、额外成本、限制竞争等。
通告指出:“拟议规定提出了一套适用于(联邦信息系统)的最低网络安全要求标准,从而确保这些系统能更好地预防网络威胁。”
2021年,拜登政府发布了具有里程碑意义的网络安全行政令(EO 14028)。上述变化正是该行政命令要求采取的直接措施。根据该行政令,美国网络安全与基础设施安全局需要审查政府各机构的具体网络安全要求,然后“向《联邦采购规则》委员会推荐符合网络安全要求的标准合同语言”,并公开征求意见。
网络威胁持续增长,亟需加强威胁应对能力
此次通告还呼吁美国政府改进网络威胁的识别、阻止、应对工作,同时确保产品安全构建与运营,以创造更安全的网络空间。
通告提到:“最终,美国对其数字基础设施的信任应该与数字基础设施的可信度和透明度成正比,并与这种信任被滥用会导致的后果成正比。”
通告提到了恶意网络安全活动在近期发生爆炸性增长,表示美国面临的威胁会造成高昂的代价。通告预测,未来十年,持续增长的威胁可能会给美国带来1万亿美元的损失。而白宫经济顾问委员会此前预估,2016年恶意网络活动对美国经济造成的损失在570亿美元至1090亿美元之间。
拜登政府在通告中承认,单一网络事件可能会给个别公司带来“毁灭性的”成本。
通告还指出:“政府及其承包商必须相互协调,遵守适用的安全和隐私要求。这些要求虽然来自相互独立的领域,实质上紧密相连。”
该拟议规定的征求意见期将于12月4日截止。
本周二,拜登政府还发布了另外一项拟议规定,旨在修改《联邦采购规则》,增加与技术供应商分享网络威胁和事件信息的内容。
参考资料:
fedscoop.com