2021年2月16日,软件联盟发布了《构建更有效的ICT供应链安全》白皮书,呼吁将美国的供应链安全政策转变成为基于保障的方法,聚焦战略重点,在政府机构间展开协调。
软件联盟认为,近年来的供应链安全政策偏于被动并过于宽泛,最终无法实现促进安全,并会阻碍经济增长。而SolarWinds也证明了ICT供应链存在重大威胁。因此,有一个重要的机会摆在美国新政府面前:创建并实施现代的供应链安全。白皮书呼吁美国政府专注于保障工作,加强美国领导力,激发公私合作关系,并对现行政策进行调整,以降低供应链风险,推动全球ICT供应链的信任和安全。
白皮书指出,美国IT行业供应链面临真实而重大的威胁。当前,全球化的供应链具有高度复杂性,面临可能来自业余黑客、心怀不满的员工、犯罪网络以及复杂的国家行为的攻击。供应链威胁可发生于IoT之类的硬件,也可发生于如操作系统之类的软件,入侵可能发生在供应链的任一环节。目前,美国通过三类政策工具来应对供应链上直接或者间接的威胁:
1、干预
政府直接介入具体的商业交易,修改、扰乱或者禁止对美国供应链造成威胁的交易。
2、基于国家的限制
针对具体国家,限制或者禁止某些业务开展,或者限制与设在某些国家的实体进行某些商业交易。
3、保障
以保障为基础的政策通过激励的措施或者要求,鼓励各组织达到供应链风险管理、透明和完整的基准,这里通常以广泛认可的技术标准作为基础。
这三类政策工具各有利弊,在过去四年中,美国过于依赖“干预”和“基于国家的限制”,而对“保障”强调不足。这种过于直截了当的做法,对美国产业来说是有害并令人困惑的,最终没有推进任何真正的供应链安全。同时,宽泛的、以国家为中心的供应链政策,加上对这些政策所要应对的威胁的解释不连贯、不明确,这导致了将国家安全和经济保护主义混为一谈,认为美国以国家安全为由追求经济目标,从而招致国外更多的经济保护主义,结果破坏了美国企业的全球竞争力,而这些企业正是保护供应链所需要的。因此,需要通过“保障”政策广泛减低风险,鼓励整个供应链采取强有力的安全措施。
如果拜登政府愿意实现供应链安全管理重心的转移,建立基于保障的供应链安全,应遵循以下指导原则:
-
确保政策的连贯性和整体性;
-
确保政策是以风险为基础的;
-
确保政策具有强针对性;
-
确保政策在对等适用时可被接受;
-
确保政策透明,并为裁定不利行动提供明确的途径;
-
确保政策得到强有力的公众咨询和经常性的审查。
新政府伊始,应立即采取相关行动建立强大有效的供应链安全政策环境,赢得全球尊重。具体建议如下:
一是专注“保障”
包括:1、采取保障激励措施;2、投资和供应链风险管理相关的研发;3、加强美国产业基础,确保获得可靠供应商。
二是加强美供应链风险管理国际领导地位
包括:1、建立正式的、注重行动的伙伴关系,以应对共同的供应链挑战;2、重新调整非正式伙伴关系,以加强围绕共同目标的协作;3、加强美国对国际标准制定和国际规范制定的投入;4、投资于外国伙伴的能力建设。
三是激活公私伙伴关系,管理供应链风险
包括:1、提高供应链威胁信息共享;2、鼓励私营部门发挥领导作用;3、在关键的政府供应链政策过程中建立透明度,并有正式的行业参与。
四是调整现行政策,应对执行挑战
包括:1、缩小13873号行政命令的范围,暂停执行拟议的实施细则;2、重新审视不切实际的第889条要求;3、对国防部的CMMC进行更改,可以考虑暂定执行CMMC并采用适当的替代政策机制。
欢迎下载报告原文,方式如下:
关注本公众号,后台输入:ICT供应链
(本报告下载有效期为7天,请及时保存)
联系咨询:谢老师 13771998064(微信同号)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。