美国国土安全部成立网络安全审查委员会

新闻

3年前

　　去年5月，拜登发布网络安全行政令。2月3日，美国国土安全部（DHS）宣布成立网络安全审查委员会（CSRB）。委员会成员囊括公共权力部门官员和私营企业相关负责人，负责审查和评估政府和私营部门发生的重大网络安全事件。DHS在新闻发布中表示：“CSRB将作为专供政府部门和私营企业主管之间共同探讨的合作论坛，为总统和国土安全部长提供战略性建议。”

　　成立之初，CSRB由来自联邦政府和私营企业的15位顶级网络安全主管组成，主席是DHS网络政策副部长Robert Silvers，副主席是谷歌安全工程高级总监Heather Adkins。DHS网络安全与基础设施安全局（CISA）负责管理该委员会，并为其提供资金与支持。CISA局长Jen Easterly负责与Silvers协商任命CSRB成员，并在发生重大网络安全事件后负责召集委员会。

　　委员会的其他成员还包括几位网络安全界名人，例如智库Silverado Policy Accelerator联合创始人兼董事长Dmitri Alperovitch（同时也是网络安全公司CrowdStrike联合创始人兼前首席技术官）、Luta Security创始人兼首席执行官Katie Moussouris、Verizon威胁研究咨询中心联合创始人兼常务董事Chris Novak、美国互联网安全中心高级副总裁兼首席布道者Tony Sager、微软数字犯罪部门助理总法律顾问Kemba Walden、以及Palo Alto Networks旗下安全团队Unit 42高级副总裁Wendi Whitmore。

　　根据CSRB的章程，委员会的职责仅限于咨询。发生重大网络安全事件后，委员会将在CISA局长的领导下召开会议，成立统一协调小组（UCG），负责处理紧急威胁。CSRB年度运营成本预计在280万美元左右，包括行政费用、合约支持和五名全职员工的开支。

　　DHS表示，CSRB的首个审查任务将聚焦2021年末曝光的Log4j开源软件库漏洞。值得注意的是，拜登颁布的行政令明确要求，该委员会的首个审查任务“应与2020年12月触发统一协调小组成立的网络活动有关”，也就是造成严重影响的SolarWinds供应链攻击事件。

不完全类似于美国国家运输安全委员会（NTSB）

　　有官员表示，CSRB略类似美国国家运输安全委员会（NTSB）——设于美国交通运输部内的独立监管机构，负责调查飞机坠毁和火车脱轨等交通事故。然而，一些专家认为，NTSB模式并不完全贴合CSRB，并强调称，CSRB寻求更好地保护美国的网络和基础设施，因而面临一些独特的挑战和机遇。

　　曾任美国国土安全部官员的战略与国际问题研究中心（CSIS）国土安全高级顾问Suzanne Spaulding向媒体透露：“NTSB身处受到严格监管的部门，该部门重视[其作用]，明白如果没有NTSB这样的机构，就很难让人愿意坐进这些在空中高速呼啸而过的金属管子。而网络安全审查委员会将要运作的空间里，这些条件基本不存在。”

　　与NTSB密切合作的航空业律师Mike Denko也强调，网络安全领域缺乏监管也是CSRB区别于NTSB的一个因素。他表示：“航空业受到严格监管，航空公司常常对此不满，但在安全方面还是存在一些共同利益的。”

CSRB的调查权尚不明确

　　Spaulding表示，CSRB与NTSB的另一个区别是“他们没有传唤权”。

　　Holland & Knight律所合伙人Gary Halbert也认为，CSRB似乎缺乏NTSB那样的调查权。他表示：“NTSB向来以确定因果关系见长，但他们有能力进行事实发现，为得出结论提供依据。至于这个新成立的实体，你会想要知道事实调查到底由谁执行？是由现有机构执行吗？我可不认为这个新实体具备任何此类调查权。”

　　不过，Denko也表示，NTSB极少使用其传唤权。“以我个人的经历来看，我参与的案件中没有任何一起NTSB传唤过谁。”至于NTSB不使用传唤权的原因，Denko提到，“NTSB觉得传唤或使用传唤权不利于获得真相。基本上，NTSB想要去找机械师或供应商，对他们说，‘嘿，发生了什么事？不用宣誓。我们不会抓你的。别担心，尽管说。都是非正式的。’他们认为这是审查过程的一部分。尽管他们可以传唤，但他们选择不这么做。”