介绍
参议员Hickenlooper和小企业和创业委员会,我是Kevin Stine,美国商务部国家标准与技术研究所(NIST)信息技术实验室(ITL)应用网络安全部门主管。感谢您今天有机会出席会议,讨论NIST在帮助小型企业改善网络安全方面的作用。
网络安全是NIST解决关键国家优先事项的众多项目之一。其他包括人工智能、先进制造业、数字经济、精密测量、量子科学、生物科学,以及对我们国家的成功至关重要的许多其他领域。NIST的使命是通过推进计量科学、标准和技术,以增强经济安全和提高我们的生活质量,从而促进美国的创新和产业竞争力。NIST进行研究并提供我们经济所有部门中各种规模的公司所依赖的服务。NIST还拥有五位最前沿科学领域的诺贝尔奖得主,其中三位来自我们位于科罗拉多州博尔德的实验室。
NIST在网络安全中的作用
在网络安全领域,自1972年以来,NIST一直与联邦机构、行业、国际合作伙伴和学术界合作,帮助制定并发布了数据加密标准,该标准实现了高效的安全,就像我们今天都喜欢的电子银行一样。NIST的作用是提供标准、指导、工具、数据参考和测试方法,以保护信息系统免受信息和服务的机密性、完整性和可用性的威胁。1987年《计算机安全法》(公法100-235)加强了这一作用,2002年《联邦信息安全管理法》(FISMA)(公法107-347)扩大了这一范围1,并在2014年《联邦信息安全现代化法案》(FISMA 2014)(公法113-283)中重申。此外,2014年《网络安全增强法案》(公法113-274)授权NIST促进和支持关键基础设施自愿、行业主导的网络安全标准和最佳实践的发展。
在制定其指导方针时,NIST对我们建立的强大合作伙伴关系感到自豪,并依靠公开、透明和协作的过程,该过程汇集了来自政府、各种规模的行业、学术界和非营利实体的广泛专业知识,以开发和改进我们的网络安全资源。NIST通过多种方式传播其资源,鼓励广泛共享工具、安全参考数据、信息安全标准、指南和实践,以及与利益相关者的联系、参与政府和行业活动以及在线机制。
NIST与公司和我们指导的其他用户的直接联系推动了我们为政府和私营部门网络安全相关政策决策提供信息的努力。
NIST在帮助小企业管理网络安全风险方面的作用
NIST认识到小企业在美国经济中发挥着至关重要的作用。小企业占美国所有企业的99.9%,创造了32.6%的已知出口价值,占私营部门雇员的46.4%2.小企业占1995-2021年净就业岗位的62.7%三.
网络安全可以直接影响几乎所有企业的底线。网络安全漏洞每年使企业损失数十亿美元的收入和生产力。对声誉的影响和客户信任的丧失可能会对小企业造成长期损害。大多数小企业普遍存在的漏洞可能会对国家经济和整体安全构成重大威胁。其中许多公司都拥有敏感的个人信息,包括医疗或财务信息。小企业还向联邦、州、地方和部落政府提供服务;能够访问政府信息或系统;并构成国家供应链的重要组成部分,为公共和私营部门提供商品和服务。在美国人目前所处的相互关联的环境中,小企业必须意识到并积极管理网络风险,并且能够做到这一点,而不必承担过多的负担。
虽然许多小企业的资源、人员和对网络安全风险的认识有限,但小企业的安全性并不一定较差。由于规模大,小型企业在应对网络安全风险方面可能比大型企业更具创新性和灵活性。与一些较大的组织相比,他们可以更及时地调整、更新和适应新的策略、要求和风险。
与任何其他组织一样,尤其是在实施新技术时,小企业需要充分了解连接到互联网所带来的潜在安全风险。系统所面临的风险是如此复杂和普遍,以至于期望小企业成为所有安全领域的专家是不合理的,包括为复杂系统配置正确实施安全控制,并评估与新技术和新兴技术相关的安全功能。物联网(IoT)技术的爆炸式发展尤其如此。
NIST一直致力于帮助小型企业解决其网络安全需求。例如,NIST通过出版物、会议和活动提供指导。NIST与跨机构、行业和非营利合作伙伴合作,举办网络安全研讨会、培训网络研讨会,并为小型企业提供在线资源。
NIST小型企业网络安全角
绝大多数较小的企业依靠信息技术来经营企业,并存储、处理和传输信息。这些公司越来越严重地依赖物联网产品和服务。保护这些信息免受未经授权的披露、修改、使用或删除,对于这些公司及其客户来说至关重要。
由于资源和预算有限,这些公司需要切实可行的网络安全指导、解决方案和培训,使其能够经济高效地应对和管理网络安全风险。NIST小型企业网络安全角4将这些关键资源放在一个位置。
国会赋予NIST责任5通过NIST《小型企业网络安全法案》(公法115-236)向小型企业传播一致、清晰、简明和可操作的资源,帮助他们识别、评估、管理和降低网络安全风险。NIST创建了多种资源,包括多因素身份验证和勒索软件等主题的视频短片,以及基于实际小型企业网络安全事件的案例研究,这些案例研究提供了引人入胜的现实场景。
除了NIST开发的资源外,法律还指示NIST咨询其他机构,NIST也会这样做。首先,小企业管理局、国土安全部和联邦贸易委员会是NIST小企业网络安全角网站的贡献者。他们正在提供以小企业为中心的资源,通过该网站共享,我们希望他们将提高对该网站的认识和使用。所有资源都是免费的,并从联邦机构(包括NIST和非营利组织)提供的信息中提取。小企业网络安全角定期扩大和更新,以纳入更多政府和非营利组织的资源。
小型企业网络安全利益共同体
2023年3月,NIST启动了小企业网络安全利益共同体(COI),召集公司、行业协会和其他能够分享商业见解、专业知识、挑战和观点的人,指导我们的工作,并协助NIST更好地满足小企业的网络安全需求。
有时,小企业缺乏适合其优先需求和能力的指导。其他时候,信息太多了,他们很难知道从哪里开始,或者什么对管理网络安全风险最重要。有时这些信息太复杂了。面对这些前景的小企业可能会不堪重负,因此可能不会采取行动。对于较小的非营利组织、教育机构和政府机构来说,情况也是如此。
NIST小企业网络安全COI为小公司和代表他们发言的人提供了通知NIST国家网络安全卓越中心(NCCoE)的机会NIST更广泛地介绍了我们如何通过指导机构的工作和调整我们生产的资源来更好地满足他们的需求,以便小型组织能够有效地使用这些资源。
COI成员将了解NIST当前和计划为小型组织提供的资源,并根据其业务情况、设置、需求和能力的实际情况,就这些资源的预期用途提供反馈。
NIST网络安全框架
《改善关键基础设施网络安全框架》(简称“网络安全框架”或“CSF”)是所有组织(包括许多小企业)更好地理解、沟通和降低网络安全风险的基础和基本工具。
2013年开始,根据行政命令和国会立法6NIST与行业、学术界和其他政府机构合作,创建、推广并继续加强网络安全框架。它提供了一种自愿、基于风险、灵活、可重复且具有成本效益的方法,包括自愿标准、指南和实践,以帮助组织了解、评估、优先考虑和沟通网络安全风险。网络安全框架最初是为关键基础设施的所有者和运营商设计的,但各种规模的组织和许多经济部门现在都使用网络安全框架来管理其网络安全风险,包括供应链风险。该框架也越来越多地被政府政策(在联邦、州和国际层面)所利用,作为组织的建议甚至所需资源。
网络安全框架是一个活的文件,随着时间的推移而不断完善、改进和发展。定期更新有助于该框架跟上技术和威胁趋势,整合经验教训,并将最佳实践转化为通用实践。NIST最初于2014年编制了该框架,并于2018年4月更新了CSF 1.1。根据利益相关者的反馈,为了反映不断发展的网络安全形势,并帮助组织更轻松有效地管理网络安全风险,NIST正在努力对框架进行新的、更重要的更新,即CSF 2.0。
2023年8月8日,NIST发布了CSF 2.0的完整草案,以征求公众意见。制定该草案的过程包括NIST审查从使用网络安全框架中吸取的经验教训,收集书面意见,主办多个研讨会,并纳入对过去一年中先前草案的意见和反馈。在起草过程中,我们让不同的利益相关者参与进来,以确保网络安全框架在许多方面都是可扩展的,从大型跨国公司到中小型组织的企业都可以利用它来管理其网络安全风险。评论员包括科罗拉多州制造商Edge,NIST制造业扩展合作伙伴关系的合作伙伴,该合作伙伴与其他组织合作,为科罗拉多州制造业社区提供资源、培训等。其他参与下一版本框架的人包括西方州长协会。我们正在利用小型企业利益共同体(Small Business Community of Interest)确保小型公司了解框架的拟议修订。
保护非联邦系统和组织中受控的非机密信息
保护非联邦系统和组织中的受控非机密信息(CUI)对联邦机构至关重要,因为我们的非联邦合作伙伴,包括小型企业,需要访问CUI以支持联邦政府任务。NIST特别出版物800-171《保护非联邦系统和组织中的受控非机密信息》为联邦机构提供了保护CUI机密性的建议安全要求。
这些要求旨在供联邦机构在合同工具或这些机构与非联邦组织之间订立的其他协议中使用。当信息与非联邦组织共享时,联邦机构保护CUI的责任不会改变。因此,当任何规模的非联邦组织使用非联邦系统处理、存储或传输CUI时,都需要类似级别的保护。
NIST已经编制并正在更新配套出版物,提供评估方法和评估程序。
合作为美国小型制造商提供网络安全援助
小企业是美国制造业的支柱,是美国经济安全的主要贡献者。在NIST内部,制造业扩展合作伙伴关系(MEP)特别关注向中小型制造商提供直接、实际的技术援助。MEP通过51个中心运营着一个全国性的技术援助网络,每个州和波多黎各都有一个中心。
MEP优先向中小型制造商(SMM)提供意识、培训和实际网络安全援助,以帮助他们保护其商业信息和资产。这些较小的制造商特别容易受到网络安全攻击,因为他们通常不认为自己是目标,但他们经常被攻击为进入更大供应链的入口。全国各地的MEP中心通过网络安全意识研讨会、网络广播和实际操作的直接技术援助项目,在商业和国防市场与美国SMM直接接触。MEP中心还致力于帮助小型次级国防承包商了解《国防联邦采购法规补充》中的网络安全要求。
MEP的网络安全工作组为MEP全国网络提供了一个论坛,以分享其最佳实践和挑战,从而为SMM创造新的机会。MEP继续将NIST实验室的主题专家纳入网络安全工作组,以了解最新的制造业网络安全实践。
小型企业网络安全工作人员
所有组织中的熟练和多样化的网络安全工作人员对提高国家的网络安全能力至关重要。网络安全对小企业来说尤其具有挑战性,因为他们通常很少有专门从事IT或网络安全的员工,而且这些员工往往是多面手,而不是专家。或者,企业将IT或网络安全功能外包,并依赖第三方服务提供商。因此,小企业的劳动力需求既微妙又独特。
NICE是政府、学术界和工业界之间的公私合作,是NIST领导的一个项目,旨在增强美国的整体网络安全教育、培训和劳动力发展能力。NICE致力于激发和促进一个强大的社区,共同推动网络安全教育、培训和劳动力发展的综合生态系统。作为这一举措的牵头机构,NICE与联邦机构、行业和学术界合作,确保由知识渊博、技能娴熟的网络安全工作人员推动的数字经济。
NICE网络安全劳动力框架7是一个国家资源,建立了分类法和通用词汇,对网络安全工作进行分类和描述。NICE框架旨在应用于公共、私营和学术部门,帮助雇主评估其网络安全工作人员,确定网络安全人员配置中的关键差距,并改进职位描述。
NIST还资助CyberSeek8这是一个交互式在线工具,旨在帮助缩小网络安全技能差距。CyberSeek提供了网络安全工作者需求和供应的数据可视化,以指导雇主、求职者、决策者、教育和培训提供者以及指导顾问。CyberSeek包括一个网络安全工作热图,其中显示了提供具有相关证书的员工的信息。该项目还展示了网络安全领域的职业道路,为该领域的发展提供了机会。
这些工具对大小企业以及其他组织都有帮助。
2016年9月,NICE为五个试点项目(包括派克斯匹克社区学院的网络准备项目)提供了资金,以支持区域联盟和多方利益相关者伙伴关系以促进网络安全教育和劳动力发展。继成功的试点项目之后,NIST再次提供资金建立RAMPS合作伙伴关系。有效的合作伙伴关系将侧重于将网络安全技能短缺的雇主与教育工作者聚集在一起,重点培养技能娴熟的劳动力,以满足当地或区域经济的行业需求。NIST还是美国网络游戏的创始合作伙伴,帮助招募、培训和发展代表美国参加国际网络安全竞赛的团队。
国家网络安全卓越中心
NIST的国家网络安全卓越中心(NCCoE)成立于2012年,是一个协作中心,行业组织、政府机构和学术机构在这里共同应对美国企业面临的网络安全挑战。该中心通过调整NIST的标准和指南,为特定行业和技术制定现实可行的指南,提供基于标准的实用网络安全解决方案。这些以用例为中心的资源可以帮助任何规模的组织利用领先实践来降低网络安全风险。
NCCoE与技术合作伙伴密切合作,从财富50强的市场领导者到专门从事IT安全的小型公司。该中心为小型制造商和家庭物联网设备开发了领先的网络安全实践。它还为特定用途的卡开发了NIST网络安全框架的概要,包括防止勒索软件以及保护空间系统、选举基础设施、电动汽车充电和液化天然气。
结论
由于信息技术提供的功能,小型企业比以往任何时候都更具创新性、灵活性和生产力,但小型企业面临的网络安全挑战比以往任何时期都更大。由小型企业管理的系统是由广泛的网络和增加的计算能力支持的大型互联社区的一部分。小型企业必须采取措施保护系统,防止恶意活动、意外未经授权泄露敏感信息或侵犯隐私。
NIST在帮助小型企业方面发挥着重要作用。NIST的网络安全组合适用于各种各样的用户,从中小型企业到大型私人和公共组织。
NIST为其在建立和改进一整套网络安全技术解决方案、标准、指南和最佳实践以及通过该工作做出的政策决策方面所发挥的作用而感到自豪。我们的机构尤其为与联邦政府合作伙伴的有力合作感到骄傲,各种规模的私营部门合作者、学术界和国际同事。
感谢您给我机会介绍NIST在小企业面临的网络安全挑战方面的工作。我很乐意回答您的任何问题。
1FISMA作为2002年《电子政务法》第三章(公法107-347)颁布。
2 https://advocacy.sba.gov/2023/03/07/frequently-asked-questions-about-sm…
三https://advocacy.sba.gov/2023/03/07/frequently-asked-questions-about-sm…
4 https://www.nist.gov/itl/smallbusinesscyber网址
5 https://www.congress.gov/115/plaws/publ236/PLAW-115publ236.pdf
6https://www.congress.gov/bill/113th-congress/senate-bill/1353/text
7 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/nist.SP.800-181r1…
8https://www.cyberseek.org/
