网络安全仍然是各国政府议程上的重要议题,因此都在致力于应对网络安全威胁,并在2022年推出了一些政府主导的重大举措,以帮助解决各种网络安全问题。
以下是世界各国在2022年推出的22项值得关注的网络安全举措。
2022年2月
(1)以色列承诺支持美洲开发银行在拉丁美洲和加勒比地区的网络安全倡议
以色列政府在2月宣布计划加入美洲开发银行(IDB),并将发起一个新的网络安全倡议,承诺提供200万美元,以帮助加强拉丁美洲和加勒比(LAC)地区的网络安全能力。以色列政府表示,这笔资金将有助于该地区的网络能力建设,使官员和决策者能够获得最前沿的实践和世界领先的专业知识。美洲开发银行(IDB)理事会的以色列代表Matan Lev Ari表示:“网络安全倡议正在为拉丁美洲和加勒比地区安全可靠的数字化铺平道路,这是后疫情时代增长的关键因素之一。”
2022年3月
(2)新加坡推出网络安全认证计划,以表彰安全实践良好的企业
新加坡网络安全局(CSA)推出了一项新的认证计划,以表彰那些采用并实施了良好网络安全实践的企业。该认证包括两个网络安全标志:“网络要素”(Cyber Essentials)和“网络信任”(Cyber Trust),前者是对实施了网络安全措施的中小企业的认可,后者是对拥有综合措施和实践的大型或更多数字化企业的认可。
为了支持企业获得认证,新加坡网络安全局(CSA)还为IT团队开发了工具包,并策划了一个具有产品和服务的合作伙伴的初始生态系统,可以帮助企业满足认证的要求。新加坡网络安全局(CSA)首席执行官David Koh表示:“供应链网络攻击将继续在数字领域蔓延,在不久的将来,企业可能会被要求在开展业务时展示其网络安全态势,以向客户提供更大的保障。”
2022年4月
(3)新加坡为网络安全服务提供者制定许可证框架
新加坡网络安全局(CSA)为网络安全服务提供商制定了一个许可证框架,并成立了网络安全服务监管办公室(CSRO)来管理该框架,并促进与行业和更广泛的公众在所有许可证相关事宜上的联系。新加坡网络安全局(CSA)表示,该框架旨在更好地维护消费者利益,解决消费者和网络安全服务提供商之间的信息不对称的问题,同时提高服务提供商标准。
该机构补充说,提供渗透测试和管理安全运营中心监控服务的提供商将获得许可。新加坡网络安全局(CSA表示,这两项服务之所以被优先考虑,是因为提供这类服务的服务提供商可以大量访问客户的计算机系统和敏感信息。如果访问权限被滥用,客户端的操作可能会中断。此外,这些服务已经在市场上广泛使用,因此有可能对网络安全格局造成重大影响。
(4)澳大利亚推出REDSPICE计划以加强国家网络安全
澳大利亚信号局(ASD)宣布启动“弹性-影响-国防-空间-情报-网络-使能者”(REDSPICE)计划,以增强澳大利亚国家系统和关键基础设施的网络弹性和防御,并投资99亿澳元,在未来10年加强澳大利亚的国家网络安全能力。澳大利亚信号局(ASD)表示,通过REDSPICE计划将扩大其情报、进攻和防御网络能力的范围和复杂性。澳大利亚信号局(ASD)总干事Rachel Noble指出,“REDSPICE计划是澳大利亚信号局(ASD)继续为澳大利亚的安全做出贡献所需的必要和及时的改变,无论在和平时期还是冲突时期。”
2022年5月
(5)英国制定新的核电安全战略
英国政府概述了一项新的网络安全战略计划,以保护该国的核电设施。其目的是全面了解当前行业的网络安全优势和挑战,并在2026年之前实现主要目标,作为更广泛的2022年国家网络战略的一部分。在《2022年民用核网络安全战略》中,英国政府概述了建立民用核部门的目标,该部门将以合作和成熟的方式有效管理和减轻网络风险,并具有应对和从事故中恢复的韧性。新计划寻求建立在核网络安全方面的现有理解基础上,并提出该部门应在未来4年内实现的四个关键目标:
- 适当优先考虑网络安全,将其作为整体风险管理方法的一部分,以共同的风险理解和以结果为重点的监管为基础。
- 面对不断变化的威胁、遗留挑战和新技术的采用,积极采取行动,减轻供应链网络风险。
- 通过准备和协同应对网络安全事件,以最大限度地减少影响和恢复时间,增强恢复能力。
- 合作提高网络成熟度,发展网络技能,推广积极的安全文化。
这些目标将通过若干优先事项和支助活动实现,并通过执行方案方法进行监督。这些包括网络对手模拟(CyAS)评估和跨部门关键IT和OT系统的其他威胁知情测试活动,民用核供应链的网络安全标准,以及跨部门的第三方和组件保证和管理合作。
(6)澳大利亚维多利亚州政府投资10万美元培训女性网络安全
澳大利亚维多利亚州政府宣布,将投资10万澳元用于一项计划,培训具有一年IT行业经验或三年网络行业经验的女性,帮助她们开始走上职业生涯,为担任网络安全领域的领导职位做准备。该倡议是与澳大利亚妇女参与安全网络(AWSN)合作发起的。澳大利亚政府称该计划旨在提高女性在劳动力中的比例,因为澳大利亚统计局发现,女性仅占当地数字技术工人的31%。该项目于今年7月开始实施,包括专业培训、辅导和指导服务,以及参加研讨会和社交活动。
(7)英国政府开放政府网络安全咨询委员会(GCSAB)成员申请
英国政府开放政府网络安全咨询委员会(GCSAB)成员申请,其目标是在外部挑战小组的成功基础上汇集业界和学术界的观点,支持政府更广泛的网络安全战略的发展,该战略于2022年1月启动,旨在帮助成员建立一个具有网络弹性的公共部门。根据英国政府在其网站上发布的公告,政府网络安全咨询委员会(GCSAB)将由独立的外部专家组成,以更好地建立政府、私营部门和学术界之间的联系,提供面对政府网络安全挑战的观点和投入。还将邀请在战略、标准和保证领域具有网络安全专业知识或能力的候选人提交加入GCSAB的意向书。将交付治理、风险和管理计划,采用网络检测与响应技术,以及提高网络技能和安全文化。政府网络安全咨询委员会(GCSAB)每两个月举行一次会议。
(8)美国提案明确提出了5G安全改进措施
美国政府提出了一项拟议的5G安全评估五个步骤的流程调查,以解决现有安全评估指南和标准中因5G技术的新功能和服务而产生的差距。美国网络安全与基础设施安全局(CISA)执行助理局长Eric Goldstein表示:“这一联合安全评估过程旨在提供一种统一而灵活的方法,美国联邦机构可以利用该方法评估、理解和解决安全和恢复力评估与技术评估标准和政策之间的差距。这一过程将确保政府和企业系统得到保护,网络犯罪分子无法通过5G技术秘密进入机构网络。”具体来说,相关机构在美国联邦办公室进行安全评估以获得运营授权(ATO)之前致力于满足要求。其提出的五个步骤是:
- 定义美国联邦5G用例。
- 确定评估边界。
- 确定安全需求。
- 将安全要求与联邦指导方针联系起来。
- 评估安全指导漏洞和替代方案。
(9)英国提出新的实践准则,以加强应用程序的安全和隐私
英国政府呼吁科技部门加强应用商店和应用程序开发的安全和隐私要求方面的投入。英国国家网络安全中心(NCSC)的一份新报告披露,含有恶意软件或开发不力的应用程序正将用户置于巨大的风险之中。英国政府表示,因此它的目标是建立一个新的实践准则,为应用程序设定基本的安全和隐私要求。英国政府网站的一份新闻稿称,根据新提案,智能手机、游戏机、电视和其他智能设备的应用商店可能被要求遵守一项新的实践准则,以提高应用安全和隐私标准,这将是世界上第一个此类措施。拟议的代码将要求商店为每个应用程序设置漏洞报告流程,以便更快地发现和修复缺陷。他们需要以一种可访问的方式分享更多安全和隐私信息,包括为什么应用程序需要访问用户的联系方式和位置信息。
2022年6月
(10)以色列宣布“网络穹顶”计划以提升国家网络安全
以色列国家网络理事会(INCD)概述了其新的国家网络安全 “网络穹顶”计划,这是一个主动防御的大数据和人工智能综合方法。该项目由以色列国家网络理事会(INCD)总干事Gaby Portnoy宣布,旨在通过国家网络周边的新机制提升国家网络安全,减少对该国的网络攻击。Portnoy说,“网络穹顶计划还将提供工具和服务,以加强国家资产的保护。它将同步国家级别的实时检测、分析和缓解威胁。我们需要以最好的方式保护国家资产,并让更多政府部门和私营机构采用关键基础设施的网络安全协议。”
(11)加拿大出台新立法以加强网络安全
加拿大政府提出了立法提案,以更好地保护本国公民,并加强金融、电信、能源和交通部门的网络安全。C-26号《网络安全法案》(ARCS)计划取代《电信法》,将网络安全作为一项政策目标,使电信与其他关键部门保持一致。这将为加拿大政府提供法律权力,以授权采取必要行动确保加拿大电信系统的安全。这包括禁止加拿大公司使用来自高风险供应商的产品和服务。此外,该立法引入了《关键网络系统保护法》(CCSPA),为加拿大关键基础设施的安全奠定了基础。加拿大国防部长Anita Anand评论说,“这些立法措施将有助于进一步保护加拿大人,并在不断发展和日益复杂的数字环境中捍卫我们的关键基础设施。”
2022年7月
(12)德国加强防御以应对俄乌冲突可能带来的网络威胁
德国政府宣布了增加国家网络防御的计划,以应对俄乌冲突期间可能带来的新威胁。德国内政部长Nancy Faeser提出的新措施包括提高中小型企业和提供交通、食品、卫生、能源和供水等关键服务的企业的网络弹性,以及为德国联邦政府引入一个安全的中央视频会议系统。还概述了各州和联邦机构之间交换网络攻击信息的中央平台,以及德国国内情报机构和警察部门的IT基础设施现代化的计划。Faeser评论说:“鉴于爆发的俄乌冲突,我们面临着巨大的变化,这要求我们对网络安全进行战略重新定位和重大投资。”
2022年8月
(13)法国承诺提供2000万欧元加强医院和医疗机构的网络安全
法国数字化转型和电信部长Jean-Noël Barrot和法国卫生部长François Braun宣布向法国国家网络机构ANSSI追加2000万欧元投资,以加强该国医院和医疗机构的网络安全。8月24日,法国南部法兰西医院中心(CHSF)遭受了严重的勒索软件攻击。据报道,Lockbit是参与攻击的勒索软件类型,据报道,勒索软件攻击者在此次攻击之后提出了1000万美元的赎金要求。Braun称这次网络攻击是不可接受的,而Barrot表示医院的网络安全是政府的首要任务。他补充说,这些资金应该能够加强对医疗机构的支持。
(14)苏格兰为数百家组织提供网络弹性培训
苏格兰政府宣布了一项50万英镑的合同,向全国250多家机构提供网络弹性培训。该培训由苏格兰商业恢复中心(SBRC)实施,包括为公共服务和第三部门卫生、住房和社会护理机构举办的在线研讨会,以确保它们更好地应对和保护网络威胁。此前,苏格兰发生的破坏性大规模网络攻击越来越多。苏格兰司法部长Keith Brown说:“研讨会为减轻或应对恶意网络攻击提供了实际指导。我敦促符合条件的组织和机构抓住这个机会,确保他们受到保护。苏格兰政府致力于确保在网络弹性和安全方面处于领先地位。”
(15)比利时部长理事会实施欧洲网络安全证书的法律框架
比利时部长理事会(比利时联邦政府的最高执行机构)指定比利时网络安全中心(CCB)为国家网络安全认证机构(NCCA),负责认证和发布欧盟网络安全证书。在新的法律框架内,比利时网络安全中心(CCB)宣布将在欧盟网络安全认证过程中为比利时的企业和组织提供指导和支持。此举实施了关于网络安全领域信息和通信技术认证的欧洲法规2019/881,即所谓的网络安全法案。比利时网络安全中心(CCB) 表示,这些证书是基于网络安全认证计划,具有一个或多个保证级别(基本、重要或高级)。其目的是提高信息和通信技术产品、服务和流程的网络安全透明度。这将增加人们对数字市场的信任。”
(16)新南威尔士州政府为网络安全加速器投入100万澳元
澳大利亚新南威尔士州政府选择了该国网络安全加速器运营商CyRise公司来运营其价值100万美元的网络安全加速器项目,该项目位于悉尼科技中心区。该项目包括为期3天的训练营、针对初创企业为期14周的加速器项目,以及针对规模化企业的一个扩大项目,这些项目都由CyRise公司运营。澳大利亚企业、投资和贸易部部长Alister Henskens表示:“该计划将帮助企业提高产品质量,调整商业模式,加强与国际投资者的联系。它将支持企业更快地‘走出去’,并吸引前沿人才到新南威尔士州,这将促进经济增长,帮助确保该州有一个更光明的未来。”CyRise公司首席执行官Scott Handsaker补充说,该创新项目旨在使新南威尔士州位于全球网络安全行业的前沿。
(17)面对日益严重的安全威胁,芬兰计划为企业提供网络安全资助计划
芬兰宣布通过一项新的代金券计划,帮助企业为改善网络安全提供资金。该计划是对俄乌冲突和芬兰申请加入北约的回应。这些代金券将为中小企业和非营利组织提供1.5万欧元的资金。据《华尔街日报》报道,规模较大的公司可能有资格获得价值高达10万欧元的代金券。
Vectra AI公司EMEA地区副总裁Teppo Halonen表示,芬兰政府提出的代金券计划的规模是迄今为止在全球安全领域中比较少见的。他说:“考虑到北欧国家的网络安全历来资金不足,这个新项目是向提高芬兰网络安全弹性迈出的一大步。有了更大的自由来提升他们的网络安全工具和培训,这些代金券使芬兰公司在防御日益增加的安全威胁方面处于明显更好的地位,并避免俄乌冲突的影响以及来自网络犯罪组织的攻击。”
(18)美国发布软件供应链网络安全指南
美国网络安全和基础设施安全局(CISA)和美国国家安全局(NSA)发布了指导意见,建议开发者如何更好地保护软件供应链,重点关注开源软件。该指南概述了符合各行业领域的最佳实践和原则的建议,强烈鼓励软件开发人员参考。这些原则包括安全需求规划、从安全角度设计软件体系结构、添加安全特性,以及维护软件和底层基础设施(例如,环境、源代码审查、测试)的安全性。
Cyber GRX公司首席信息官Dave Stapleton在接受行业媒体采访时表示,虽然该倡议由美国带头,但将在全球范围内产生积极影响,因为供应链跨越城市、州、国家和大陆。他说,“我对美国联邦政府在帮助企业确保软件供应链安全方面所做的努力感到兴奋。美国联邦政府提出的一个重要观点是,许多补救和缓解措施将严重依赖上游和下游利益相关方,这是一种共担责任模式。”
(19)新加坡呼吁网络安全行业创新
新加坡网络安全局(CSA)发起了2022年网络安全行业创新呼吁(CyberCall 2022),邀请网络安全提供商参与开发创新解决方案,以应对具体的网络安全挑战。其目的是加强组织的网络弹性,并为网络安全公司提供机会,在新加坡促进先进解决方案的商业采用。新加坡网络安全局(CSA)表示,CyberCall 2022正在寻找以下领域的解决方案:
- 用于网络安全的人工智能
- 云安全
- 操作技术(OT)/物联网(IoT)安全
- 注重隐私的技术
新加坡网络安全局(CSA)补充说,将邀请入围的网络安全公司的提案与参与的最终用户进行更深入的讨论,以共同进行创新、采用和测试平台。
(20)加拿大承诺67.5万美元用于提高人们对量子威胁的认识和准备
加拿大政府宣布,将投资67.5万加元支持“加拿大量子安全”项目为量子安全的加拿大奠定基础,该项目旨在提高人们对量子安全威胁的意识和防范能力。加拿大政府在其网站上的一篇文章中表示,这笔资金是在网络安全合作项目下提供的,旨在帮助加强加拿大准备和应对量子风险的能力,协调研究、技术、工具和培训。该项目还寻求确保那些负责保护加拿大人所依赖的系统的人拥有量子计算机时代所需的知识和技能。加拿大公共安全部长Marco Mendicino表示:“该项目将有助于更好地保护加拿大人免受网络威胁,尤其是量子威胁带来的日益增长的风险。”
2022年9月
(21)美国发布制定勒索软件报告规则信息请求(RFI)
美国网络安全和基础设施安全局(CISA)发布了一项关于即将出台的报告要求的信息请求(RFI),该要求将要求组织和机构在72小时内报告重大网络安全事件,并在支付勒索软件赎金之后24小时内报告事件。在信息请求(RFI)发布之前,《2022年关键基础设施网络事件报告法案》(CIRCIA)在今年3月获得通过,该法案要求美国网络安全和基础设施安全局(CISA)为收集事件和勒索软件支付数据寻求监管规则制定路径。美国网络安全和基础设施安全局(CISA)还宣布将举办11场会议,以进一步了解其规则的制定情况。美国网络安全和基础设施安全局(CISA)主管Jen Easterly在新闻发布会上表示,“2022年《关键基础设施网络事件报告法》是整个网络安全社区和每个致力于保护国家关键基础设施的人的游戏规则的改变者。它将使我们能够更好地了解面临的威胁,更早地发现对手的行动,并与我们的公共和私营部门合作伙伴采取更协调的行动来应对。”
(22)欧盟委员会公布欧盟网络弹性法案的规则草案
欧盟委员会公布了网络弹性法案(CRA)的规则草案,为整个欧盟的连接设备和服务制定共同的网络安全标准。该法案于12个月前由欧盟主席乌苏拉·冯·德莱恩首次宣布,旨在为市场上的数字产品和相关服务制定网络安全规则。它还将赋予欧盟委员会权力,对未遵守网络安全规则的企业和组织进行1500万欧元(或上一年全球营业额的2.5%)的罚款,同时授予欧盟召回和禁止不合规产品的权力。在成为法律之前,这些规则草案需要得到欧盟国家和欧盟议员的同意。
Exiger公司高级副总裁、美国网络安全和基础设施安全局(CISA)前助理主任Bob Kolasky表示,为了使欧盟网络弹性法案(CRA)有效,新法规必须有一个强有力的认证方法,以确保技术提供商满足要求。他说,“该法规定的要求必须以风险为基础,并尽可能与其他西方国家,特别是美国所采取的办法协调一致。如果该法案的执行更多地成为遵守规定的负担,而不是激励对安全实践、措施和协议进行更多投资的积极行动,那么它可能弊大于利。各行业领域必须参与到该法案的实施中来,以确保它在现实中获得成功,而不仅仅是停留在纸面上。”
