美国总统川普(Donald Trump)正式签属美国商务部国家标准与技术研究所(NIST)中小企业网络安全法案(Small Business Cybersecurity Act),要求NIST向中小企业提供网络安全所需要的资源。
NIST中小企业网络安全法案最初在2017年4月,由众议院起草提出,而後被并入美国联邦法律S.770,要求NIST在该法案通过一年内,为中小企业发布防范网络攻击指南,提供帮助辨识、评估和降低网络安全风险的一系列资源,这些资源除了指南,还包括工具、最佳实践、标准以及方法等。
而S.770还要求NIST在订定这些建议作法时,需要考量中小企业的需求,重点要求像是建议必须要能广泛适用,并且维持技术中立,让中小企业可以使用基於国际标准的现成商业解决方案来实施,另外,还要提供可执行的元素,透过促进简单意识和基本控制,来培养企业网络安全的文化,在达成这些目的同时,还要兼顾股东利益。
这项法律在川普签署前,在参议院一致通过,这个法律特别之处在於,具体的描述NIST向中小企业提供资讯的方法,以及提供资讯的种类,其规定资讯必须在NIST的网站上随时保持更新,甚至还规范资讯必须要具一致性并且清楚简洁。
NIST被要求完成许多工作,并且其建议要在中小企业可以负荷的情况下进行,不过,在过去NIST发出的安全指南中,其采用的工具或是方法都超出一般中小企业可负担的范围,更别说要小型企业聘请全职的网络安全团队开发内部安全工具。
由於国会认为中小企业的网络易受骇客攻击,因此催生了这个法案,但是外界仍在观察这个法案产生的後续效应,因为该法案并没有分配预算,即便这个法案要执行的工作看似很庞大,但是NIST需要使用和过去一样的资源,完成这些任务,後续执行的情况值得观察。
