美国联邦机构被要求评估网络安全风险

关键要点

• 多个美国联邦机构正在被要求对物联网和操作技术系统进行网络安全风险评估。
• 政府问责局（GAO）强调，目前缺乏衡量这些网络安全计划有效性的指标。
• 尽管已经有一些部门采取了相关举措，但针对其成效的评估依然悬而未决。

根据的报道，美国多个联邦机构在的推动下，正致力于对物联网（IoT）和操作技术（OT）系统进行网络安全风险评估，以增强关键基础设施部门的网络安全态势。GAO指出，尽管能源部已采取旨在改善OT环境网络安全的举措，包括OT网络安全监测技术，以及卫生与公共服务部对医疗设备供应商的网络安全指导，和国土安全部及运输部门针对地面交通的网络安全工具包和铁路网络安全指南，但这些机构尚未制定出任何用于衡量这些举措有效性的指标。

GAO表示：“主管机构的官员注意到，当依赖于部门实体提供的自愿信息时，评估项目有效性存在困难。尽管如此，如果不对IoT和OT的有效性进行测量和风险评估，那么旨在减轻风险的举措的成功与否将无法确知。”这番话得到了国土安全部和运输部门的认可。

能源部表示，在发布回应之前仍将与其他机构进行协调，而HHS也表示，尽管对GAO报告没有明确表示同意或反对，但仍在计划采取相应行动。

部门 | 相关举措 | 当前状态
—|—|—
能源部 | OT环境网络安全及监测技术 | 计划回应其他机构
健康与人类服务部 | 医疗设备供应商的网络安全指导 | 计划行动
国土安全部 | 地面交通网络安全工具包 | 已认可GAO的建议
运输部门 | 铁路网络安全指导 | 已认可GAO的建议

相关链接

这项工作将直接影响到美国的关键基础设施的安全性，因此，各个部门需要高度重视并采取措施，确保各项计划能够得到有效执行和评估。