盡管缺乏明確的定義，但拜登政府新發布的行政令可能比過去的更為有效，尤其是在Colonial Pipeline攻擊之后。

　　主要石油管道供應商Colonial Pipeline遭受勒索軟件攻擊癱瘓。在經歷了戲劇性的一周之后，拜登政府發布了備受關注的《改善國家網絡安全行政令》，或產生深遠而復雜的影響。該行政令旨在描繪“改善國家網絡安全和保護聯邦政府網絡的新路線”。

　　這份雄心勃勃的文件從SolarWinds和Microsoft Exchange供應鏈攻擊，以及Colonial Pipeline勒索軟件感染出發，提出了一系列最小化此類網絡安全事件頻率和后果的舉措。這些舉措包括：

　　1.消除政府與私營行業之間共享威脅信息的障礙，重點確保IT服務提供商能夠與美國聯邦政府共享安全事件信息。

　　2. 現代化并實現更強的聯邦政府網絡安全標準，包括遷移到云服務和零信任架構，以及采用多因子身份驗證（MFA）和強制加密。

　　3. 提升軟件供應鏈安全，包括為出售給政府的軟件制定軟件開發基線安全標準。美國商務部必須公布軟件材料清單（SBOM）的必備要素，跟蹤構成軟件的各個組件。

　　4. 建立由政府和私營產業專家組成的網絡安全安全審查委員會，在發生重大網絡安全事件后召開會議，提出建議，就像國家運輸安全委員會（NTSB）在發生重大運輸事故后所做的那樣。

　　5. 創建事件響應標準行動手冊，確保所有聯邦機構都參照標準的行動手冊和事件響應定義行事。

　　6. 啟用政府范圍的端點檢測與響應（EDR）系統，改進聯邦政府內部的信息共享，從而提升聯邦政府各網絡上的網絡安全事件檢測。

　　7. 為所有聯邦機構建立網絡安全事件日志要求，改善調查與修復能力。

　　立法者盛贊這項行政令

　　立法者對此項行政令的最初反應是正面的。國會議員 Jim Langevin 是眾議院網絡安全、創新技術和信息系統軍事小組委員會主席，也是網絡空間日光浴室委員會成員，他發表聲明說：“網絡安全是我們國家最緊迫的國家安全挑戰，我贊成拜登總統在任期初期采取行動，解決和消除突出的弱點。”

　　參議院情報委員會主席、弗吉尼亞州民主黨參議員Mark Warner認為，行政令的發布是“良好的第一步”。馬薩諸塞州民主黨參議員Edward J. Markey和加利福尼亞州民主黨國會議員Ted W. Lieu稱贊這項行政令創建了新的試點項目，可以“教育公眾熟悉物聯網（IoT）設備的安全能力。”·

　　專家指出定義挑戰

　　然而，這項行政令包含了46個限期完成的目標，目前尚缺乏關于如何實現這許多目標的詳細說明。Wiley Rein律師事務所合伙人Megan Brown向媒體透露：“行政令給美國國家標準與技術研究院（NIST）和聯邦采購管理委員會（FAR）留下了許多未定義的內容，并賦予了巨大的自由裁量權。”該行政令要求NIST制定實現零信任架構的計劃，并要求其定義關鍵軟件并制定評估軟件安全的指南。

　　根據行政令，NIST被進一步分配了一系列任務，敲定物聯網消費品安全標簽計劃的關鍵組成部分，包括建立試點計劃和確定計劃中使用的物聯網網絡安全標準。聯邦采購管理委員會則被分配了許多與信息共享要求相關的合約語言開發任務。

　　安全事件的定義很主觀

　　前白宮首席信息官、網絡安全公司Fortalice Solutions現任首席執行官特Theresa Payton贊揚了網絡安全安全審查委員會的成立，但表示對該行政令的執行存有顧慮。“行政令要求IT服務提供商向政府報告可能影響美國網絡的網絡安全事件。這個要求太過主觀。”

　　“從網絡安全從業人員管理者的角度出發，面對這種相當主觀的要求，老實說，我覺得自己根本不知道該怎么遵從。行政令并沒有真正明確哪個部門或機構負責確保這一點。比如說，你報告給哪個政府部門？聯邦調查局（FBI）嗎？國家安全局（NSA）？還是說，中央情報局（CIA）？”

　　撇開向聯邦政府發送安全事件信息和為網絡罪犯創造易得手目標的安全影響不談，僅定義上的挑戰就十分巨大。Payton說：“未授權登錄或未授權訪問被認為是網絡事件。但如果客戶說”我們安全運營中心觀測到異常情況“，網絡安全公司就會出動事件響應團隊，然后發現某個軟件應用運行異常需要修復。沒錯，確實有未授權訪問，但沒有任何數據落入網絡罪犯之手。這種也需要報告嗎？”

　　此外，行政令要求的安全事件報告與美國各州和司法轄區要求的數據泄露事件報告之間也需要協調。Payton表示：“美國現在有關數據泄露通報的法律多如牛毛。世界上沒幾個國家像美國這么搞。我們到底是遵守州政府的規定，還是有新的規則來規定什么是可報告的事件？”

　　美國國土安全部協調委員會前副主席、西雅圖前首席信息官、事件響應公司CI Security首席信息官Michael Hamilton表示，行政令中許多章節“相當直白，放之四海而皆準”，比如要求聯邦機構以標準化的方式管理漏洞和安全事件。他還認為，拜登政府“還需要打磨一些細節，有些定義上的問題需要解決和澄清。”

　　NSA挑大梁

　　美國國家安全局（NSA）在這份行政令的實施中扮演重要角色，包括定義企業和機構需要向政府報告的安全事件由哪些要素構成。Hamilton稱：“尤其是NSA，這個機構擁有追蹤和通報這些罪犯的專長。NSA不得開展國內監視。如果NSA拿出一套規則確定服務提供商什么時候得移交數據供調查，如果他們是解決這個問題的人，那可能是因為他們想從流經服務提供商和運營商的網絡流量方面繞開無法監視美國國內的障礙。”

　　“我覺得他們會用這種方法嘗試解決這一問題。如果他們有一席之地，那是因為有些東西是他們想要的，他們知道怎么利用。”

　　行政令與之前的操作有何不同？

　　我們尚不清楚該行政令與聯邦政府之前的網絡安全工作有何差異。Payton稱：“我想再多觀察觀察。我希望這份行政令能夠少談框架和信息共享，因為這事兒從克林頓政府時期就一直是他們追求的目標了。達成目標不外乎‘加大投資，再呼吁投更多人和更多框架進來’。或許我們可以從完全不同的角度看問題。比如從加密貨幣和非同質化通證領域借鑒點兒創新思維。可能我們需要的是不一樣的創新者，而不是一直以來的從業者。”

　　Hamilton認為，這一次，聯邦政府提出的解決網絡安全棘手問題的倡議不同以往，可能會奏效。“我們從未像過去六個月里那樣過得這么慘。這次是不一樣的。這并非最好的，但直接關系到過去六個月發生的一些事情的核心，特別是供應鏈安全問題。”

　　“聯邦政府花了這么多錢，自然可以隨心所欲地給產品和供應商提需求，而供應商如果不想丟掉飯碗，就必須跟進。所以這次是不一樣的，純粹是利用經濟手段、市場力量、錢包的力量、競爭差異化來獲得你想要的網絡安全，而不是硬邦邦說‘你必須滿足以下所有要求’。”