NIST小企业网络安全法案在美签署 加强中小企业安全监管实施

美国总统特朗普于周二(2018年8月14日)签署了NIST小企业网络安全法案,即S. 770(以前称为主街道网络安全法)。它要求NIST“传播清晰简洁的资源,以帮助小企业关注识别,评估,管理和降低其​​网络安全风险。” 

要提供的资源是信息性的。它们必须普遍适用于广泛的小型企业; 因小企业的性质和规模而异; 促进网络安全意识和工作场所网络安全文化; 并包括实际应用策略。资源必须进一步技术中立并与COTS解决方案兼容; 并尽可能符合国际标准和1980年的史蒂文森 – 威德勒技术创新法案。

小企业使用这些资源是自愿的。 

“随着企业越来越多地依赖互联网高效运营并吸引更多客户,他们将继续容易遭受网络攻击。但是,虽然大企业拥有保护自己的资源,但小企业却没有,而这正是使他们成为很容易成为黑客的目标,“这项新法律将为小型企业提供巩固其网络安全基础设施和打击在线攻击的工具。”

该法案受到安全行业的欢迎。

“关注小企业网络安全需求的法案越来越有必要保护对美国经济至关重要的活动,小型企业占美国雇主的99.7%[SBA数字],多达50%的[CNBC数据]企业经历了网络攻击。当您认为网站平均每天遭受多达50次攻击时就不足为奇了"

她补充说:“NIST小企业网络安全法案旨在为小型企业提供网络防御资源,为基本安全措施制定一套易于遵循和实施成本低廉的指导方针。它还制定了使安全最佳实践成为必需组件的指导方针。随着网络威胁的不断发展,企业培训和工作场所文化也是非常必要的。“

小型企业和许多大型组织都在努力遵守现有的NIST安全框架。这一变化为以前认为NIST合规性过于昂贵或难以获得的小型组织提供了更高的合规性和准备性。

基本问题是小型组织无法承担内部广泛的网络安全资源,而许多人仍然认为他们不会成为网络攻击者的目标。“小型企业不能免受威胁,并且通常没有配备IT资源或人员来保护他们的网络。” 小企业是企业电子邮件泄密和勒索软件攻击的主要直接目标作为大型组织供应链的一部分,它们的目标是凭证盗窃跳转到更大的目标。

“最近的报告显示,规模较小的企业因网络攻击而失去的比例更高,因为它们的目标经常发生,并且由于基础设施的弹性较小而无法恢复。”

虽然安全行业普遍赞赏这一新举措,但它仍然存在一个主要缺点 – 小企业使用新的NIST资源是自愿的。 

“许多小企业忽视了网络安全,因为他们不知道并且不了解风险 – 因此,他们不寻求解决方案。但如果他们现在不寻求解决方案,那么是什么让任何人认为他们会寻求这些新的NIST资源?“

他说,这一行为“似乎没有具体说明如何在这些实践中与小企业建立联系或互动。它只需要NIST以在线提供的指导方针,方法和其他信息的形式提供资源。我是担心这还不够。如果小企业没有采取更积极的方式,他们可能会错失这个机会并继续处于危险之中。“

 或许作为下一步需要的是可以审计的小型企业网络安全框架。然后,较大的组织可以坚持认为,他们参与的小公司必须遵守NIST小型企业网络安全框架 – 但即使这样也会产生问题。

这项新举措对于帮助那些希望改善其网络安全的小企业有很大帮助。但它必须成为一项要求才能真正改善国家的整体网络安全态势。

原文链接

https://www.securityweek.com/nist-small-business-cybersecurity-act-becomes-law

发表评论