海外投资安全信息 2022年第十八期(总第七十八期)
编辑:商法中心 文章来源: 日期:22-03-21 点击:460
.png)
美国政府部门在网络安全与中国对美投资领域的新动向
【2022036】
【国际风向标】
美东时间2022年2月3日,美国国土安全部宣布成立网络安全审查委员会(Cyber Safety Review Board,CSRB),并对CSRB的主要职责、初次审查内容以及组成人员等内容进行了说明。此外,美东时间2022年2月7日,美国国会研究处(Congressional Research Service)发布《中国全球投资:数据与透明度挑战》报告,阐述了美国国会研究出评估中国海外投资对美国和全球利益构成的挑战时所遇到的数据和透明度问题。我们对美国政府部门上述两项有关网络安全与数据的近期动态进行了下述简要分析。
一、 网络安全审查委员会
(一) 成立依据
美国国土安全部依据拜登总统第14028号行政命令“关于改善国家网络安全的”(Executive Order 14028 on Improving the Nation’s Cybersecurity)的指示,成立CSRB,对影响联邦民事执行局信息系统或非联邦系统的重大网络事件、威胁活动、漏洞等,以及机构现有应对措施、风险缓解措施进行审查和评估。根据相关法律法规,CSRB的设立期为两年;若国土安全部判断该审查委员会有必要存续,则会在设立期截止前进行为期不多于两年的延期。
(二) 组成人员
CSRB由美国国土安全部政策副部长Robert Silvers担任主席,谷歌安全工程高级总监Heather Adkins担任副主席。国土安全部网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)将管理、支持和资助CSRB。CISA主任Jen Easterly负责与CSRB主席Silvers协商任命CSRB成员,并在重大网络事件发生后召集委员会。目前,CSRB由来自联邦政府和私营部门的15位网络安全领导人组成(人员名单请见附件)。
(三) 主要职责与审查范围
根据第14028号行政命令,CSRB设立的主要目的为评估过去的重大网络事件,提出存在的问题,并为政府部门和私营企业提供建议。此处,“重大网络事件”(significant cyber incidents)指“可能对美国的国家安全利益、外交关系或经济,或对美国人民的公众信心、公民自由或公共健康和安全造成明显损害的网络事件”。CSRB的成立主要为落实拜登总统“关于改善国家网络安全的第14028号行政命令”的具体措施,与2016年发布的第41号总统政策指令“美国网络事件协调”(PPD-41:United States Cyber Incident Coordination)[1]所形成的网络统一协调组织(Cyber Unified Coordination Group,UCG)相衔接。具体而言,当发生触发UCG成立的重大网络事件时,美国国土安全部则应当召集CSRB对该重大网络事件进行评估与审查,向总统提出建议与意见。
(四) 初次审查
CSRB的初次审查将集中在2021年底在开源软件Log4j软件库中发现的漏洞,这一漏洞是近年来发现的最严重的漏洞之一,对网络防御构成了紧迫挑战。Log4j是一个开放源代码项目,由阿帕奇软件基金会(Apache Software Foundation)无偿发布,是用于收集企业计算机网络、网站和应用程序信息的工具中,使用最为广泛的软件之一。软件开发人员使用Log4j作为日志操作框架,进行业务系统开发以及记录用户活动和应用程序行为。2021年底,Log4j被发现存在严重漏洞,攻击者可利用该漏洞远程执行代码,从而窃取数据、安装恶意软件或控制目标计算机。此次Log4j漏洞事件是近年来最严重的网络安全风险之一,引起了美国国土安全部网络安全和基础设施安全局等政府机构和企业的广泛关注。CSRB将于今年夏天提交第一份报告,该报告将向公众公布,具体包括以下内容:
(a) 审查和评估与Log4j软件库相关的漏洞,包括相关的威胁活动和已知影响,以及政府和私营部门为减轻此类漏洞的影响而采取的行动;
(b) 提供关于解决任何持续存在的漏洞和威胁活动的建议;
(c) 根据从Log4j漏洞中吸取的经验教训,对改进网络安全和事件响应的做法和政策提出建议。
来源:走出去智库(CGGT)
