拜登政府网络安全战略的演变

关键要点

随着拜登政府网络安全战略的逐步展开，目标在于将网络责任从用户手中转移到制造商身上，这一举措得到了广泛的赞誉，被视为向前迈进的重要一步。任何促进协作并努力改善政策与技术差距的努力都应被视为积极的变革。

在联邦法律逐步完善之际，关于那些难以满足基本安全标准的实体如何适应新规的问题依然存在。对于医疗保健实体而言，来自卫生和公共服务部的新指导方针可能至少为他们快速融入NIST标准提供一些帮助。

“总体来说，这项战略是全面的，提供了充分的信息、想法、战术和建议，”首席健康顾问CarterGroome告诉SC媒体。“我们希望这能给国会施加压力，因为国家安全、公众信任和病人安全不应成为党派问题。”

结合HHS/HSCC框架，这将为所有行业的标准实现更好的协调，支持最近发布的国家网络战略。“我对这股积极行动感到乐观，认为这将导致立法支持和激励措施，以改善我们行业的网络态势，”他补充道。

然而，将责任从制造商重新平衡到用户在医疗保健领域“是一个棘手的问题。”事实是，早在2022年8月，SC媒体提出将医疗设备安全的责任由负担沉重的提供者转移到制造商时，就受到了极大的反对。

Groome还指出，这种责任转移将使设备制造商和安全平台供应商都承担更高的责任。

另一方面，最低网络安全要求的扩展应用实际上是医疗保健行业在过去十多年里一直在努力追求的目标，其纳入无疑是一个积极的信号。

不过，这对医疗保健行业来说“将是一个难以承受的重负，”Groome解释道。

在医疗保健以及其他低资源行业中，需要的是激励措施，以便进行这些根本性的变化，并减轻那些已经在努力满足基本要求的实体的负担。他表示，团结起来，我们将能在当前的斗争中产生积极影响。

来自教育和医疗保健等低资源行业的利益相关者长期以来警告，这些行业受限于预算、人员不足和知识差距，导致IT和安全领导者无法实施必要的变更，从而降低攻击面并增强关键基础设施的安全性。

Verizon的年度数据泄露调查报告一再指出，这些行业，以及制造业和政府，正面临着最多的网络安全事件。这些行业往往没有足够的财力去更替过时的技术。例如，学校和乡村医院常常由于预算限制而使用过时的设备和安全模型。

西雅图公立学校CISO April Mardock之前向SC媒体谈到了教育部门和非营利组织所面临的挑战：这些机构“确实缺乏实现所需变更的技能。”

“他们没有足够的技能来妥善配置防火墙，抵御钓鱼攻击，或是设定机器以稳定进行更新。这些都是基本的内容，”Mardock说。她强调：“在这个领域，指导是有时缺失的部分：我们常常忘记战略采纳，确保在采取行动之前要让利益相关者参与。”

这项战略提议中的一些措施将解决多个问题，包括建立一个多元化和强大的网络人力资源的工作提议。

健康部门协调委员会（HSCC）与HHS在三月联合发布了指南，支持从《健康保险可携带性与责任法案》（HIPAA）所规定的最低安全标准转向NIST网络安全框架（CSF）。

这一变迁紧随网络战略提议出台的步伐，也是对许多年来对将NIST标准化的呼声的回应。一些利益相关者团体多次要求国会更新HIPAA，以