美國總統(tǒng)川普(Donald Trump)正式簽屬美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)中小企業(yè)網(wǎng)絡(luò)安全法案(Small Business Cybersecurity Act),要求NIST向中小企業(yè)提供網(wǎng)絡(luò)安全所需要的資源。
NIST中小企業(yè)網(wǎng)絡(luò)安全法案最初在2017年4月,由眾議院起草提出,而後被并入美國聯(lián)邦法律S.770,要求NIST在該法案通過一年內(nèi),為中小企業(yè)發(fā)布防范網(wǎng)絡(luò)攻擊指南,提供幫助辨識(shí)、評估和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一系列資源,這些資源除了指南,還包括工具、最佳實(shí)踐、標(biāo)準(zhǔn)以及方法等。
而S.770還要求NIST在訂定這些建議作法時(shí),需要考量中小企業(yè)的需求,重點(diǎn)要求像是建議必須要能廣泛適用,并且維持技術(shù)中立,讓中小企業(yè)可以使用基於國際標(biāo)準(zhǔn)的現(xiàn)成商業(yè)解決方案來實(shí)施,另外,還要提供可執(zhí)行的元素,透過促進(jìn)簡單意識(shí)和基本控制,來培養(yǎng)企業(yè)網(wǎng)絡(luò)安全的文化,在達(dá)成這些目的同時(shí),還要兼顧股東利益。
這項(xiàng)法律在川普簽署前,在參議院一致通過,這個(gè)法律特別之處在於,具體的描述NIST向中小企業(yè)提供資訊的方法,以及提供資訊的種類,其規(guī)定資訊必須在NIST的網(wǎng)站上隨時(shí)保持更新,甚至還規(guī)范資訊必須要具一致性并且清楚簡潔。
NIST被要求完成許多工作,并且其建議要在中小企業(yè)可以負(fù)荷的情況下進(jìn)行,不過,在過去NIST發(fā)出的安全指南中,其采用的工具或是方法都超出一般中小企業(yè)可負(fù)擔(dān)的范圍,更別說要小型企業(yè)聘請全職的網(wǎng)絡(luò)安全團(tuán)隊(duì)開發(fā)內(nèi)部安全工具。
由於國會(huì)認(rèn)為中小企業(yè)的網(wǎng)絡(luò)易受駭客攻擊,因此催生了這個(gè)法案,但是外界仍在觀察這個(gè)法案產(chǎn)生的後續(xù)效應(yīng),因?yàn)樵摲ò覆]有分配預(yù)算,即便這個(gè)法案要執(zhí)行的工作看似很龐大,但是NIST需要使用和過去一樣的資源,完成這些任務(wù),後續(xù)執(zhí)行的情況值得觀察。