新的网络安全法将如何帮助改善整个电网的网络安全?

• 中钢协已开始与电网运营商举行行业会议，即2022年3月23日的NERC NPCC
• 中钢协目前正直接向电网运营商发布网络安全公告
• CISA正在向电网运营商直接提供关于黑客战术、技术和程序以及缓解措施的建议
• 中钢协成立了单点接触报告网络事故
• CISA与其他机构(如FBI、NIST、NSA、DOE等)合作，协调“整个政府”对网络安全的响应
• CISA正在为应对网络威胁提供最佳实践和资源指导，即:https://www.cisa.gov/stopransomware
• CISA不是监管机构，受法律约束保护敏感信息不受《信息自由法》和其他交流渠道的影响。
• CISA成立了供应链风险管理工作组(ICT_SCRM工作组)，以帮助中小企业进行网络安全保护，包括在美国各地实施宽带服务的小型电力公用事业公司
• CISA不进行网络安全合规审计;CISA的目标是帮助关键基础设施运营商提高网络安全保护。

新法律的概述如下由JDSupra提供(以斜体显示):

新法律建立在之前加强国家网络安全报告要求的立法努力的基础上，似乎立法坚持最终取得了胜利。在2022财年通过综合开支法案在美国，新立法一旦成为法律，就会被废除授权以下几点:

• 要求联邦民事机构在72小时内向网络安全和基础设施安全局(CISA)报告所有“重大”网络事件
• 要求在支付后24小时内向CISA报告在法律范围内的勒索软件付款
• 要求负责协助打击这些袭击的联邦机构之间共享信息并加强协调
• 要求联邦风险和授权管理计划(“FedRAMP”)授权五年，以便所有联邦机构都能采用基于云的技术

“关键”基础设施部门已被中钢协确定为:

• 化学领域
• 商业设施界
• 通信行业
• 关键制造业
• 大坝部门
• 国防工业基地
• 能源行业
• 金融服务业
• 粮食和农业部门
• 政府设施界
• 卫生保健和公共卫生部门
• 资讯科技界
• 核反应堆、材料和废物部门
• 运输部门及
• 水和废水系统部门

CISA现在将成为联邦报告对关键基础设施提供商的网络攻击以及与对这些提供商的网络攻击相关的任何勒索软件支付的主要“中心”。该法律还授权行政管理和预算办公室主任与包括司法部在内的各联邦机构协商，以使用法规来实施新立法。

目前尚不清楚新法律何时实施，但可以肯定地说，受NERC管辖和NERC CIP标准影响的大型电气系统(BES)实体可能会受到影响，如下所示

• NERC CIP-008要求管辖实体报告网络事件和对BES网络资产的“企图妥协”
  • 新立法不仅限于BES网络资产;任何符合“即将到来”的“重大”事件标准的网络事件都必须向CISA报告。这意味着，用于每小时提交能源报价和竞价的市场系统和其他IT系统发生网络事件，如果网络事件通过了“实质性”测试，则将在向中钢协报告的范围内
• NERC可对未能遵守NERC CIP标准的各方处以罚款
  • 新法案赋予中钢协传讯权，可以传召当事人接受中钢协的质询，但中钢协不征收罚款
• NERC在“审计师独立原则”下运作，防止该组织协助实体实施CIP标准
  • CISA不是监管机构，由国会授权为关键基础设施运营商提供网络安全指导和免费服务，以帮助电网的网络安全保护。电网运营商可以联系他们的中钢协区域实体寻求帮助。CISA服务产品可用于所有电网实体，无论大小，而不仅仅是BES实体。
• NERC的E-ISAC运行闭环信息交换，只有授权方才能访问NERC提供的信息共享服务
  • CISA的运作理念是，网络安全是一项团队运动，跨行业的信息共享对于挫败网络攻击至关重要。CISA的理念与PJM的Tom O 'Brien提供的参议院证词一致:

”伙伴关系和协作对于任何网络安全或物理安全计划都是必不可少的。在整个行业，与我们的州和联邦政府合作伙伴，甚至在电信、金融、水和天然气等其他关键基础设施合作，共享威胁信息和最佳实践的重要性怎么强调都不为过。威胁情报和向他人学习有关威胁和预防的知识对于管理任何网络安全计划都是至关重要的”。

美国能源部已拨款7200万美元，用于解决网络风险和供应链问题。目前还不清楚这些资金将如何使用，但可以想象的是，一些电网运营商可能会收到一些资金用于有针对性的工作，与能源部的目标一致。

根据CISA主任Jenn Easterly的说法，该法案是一个“游戏规则改变者”，将允许CISA“利用我们私营部门合作伙伴的这些报告，就我们的对手如何针对美国网络和关键基础设施达成共识”。

由于立法的结果，有关于中钢协的执行工作;在中钢协制定出必要的规则和条例，以确定哪些实体属于将受该立法影响的关键基础设施部门之前，该法律的规定不会完全生效。此外，CISA必须明确指出法律报告要求涵盖哪些类型的“实质性”网络事件。从3月15日法案通过之日起，中钢协有24个月的时间发布拟议规则。最终规则必须由中钢协在这些拟议规则发布后18个月内发布。

总之，在CISA的指导和领导下，所有关键基础设施都将成为解决网络安全风险的解决方案的一部分。信息共享被认为是打击网络犯罪的一个至关重要的功能，CISA正准备广泛管理网络犯罪，与Tom O 'Brien之前引用的评论一致，“在整个行业，与我们的州和联邦政府合作伙伴，甚至在其他关键基础设施，如电信、金融、水和天然气，共享威胁信息和最佳实践的重要性是不可夸大的。”

说得好，汤姆。看起来，我们正朝着更加合作和有效的道路前进，CISA为所有关键基础设施提供网络安全指导。