美国关键网络安全法案失效，威胁信息共享陷入困境

CISA 2015网络威胁信息共享法因政府停摆而失效

十年前，美国国会通过了名为《2015年网络安全信息共享法案》（CISA 2015）的重要网络安全法案，授权联邦政府收集和传播威胁信息，同时允许私营部门实体自愿与政府及彼此共享这些信息，并免受不利的法律或监管后果。

CISA 2015原定于2025年9月30日到期。现在，尽管众议院和参议院都做出了许多努力，甚至得到了特朗普政府、网络安全部门以及两党的支持，但由于导致美国政府停摆的立法和政治混乱，CISA 2015未能延期而失效。

因此，网络安全防御者失去了该法案提供的信息共享责任保护，政府也失去了对私营部门新出现威胁的大量可见性。鉴于华盛顿过热的两党对立环境，尚不清楚国会将以多快速度或何时重新考虑延长CISA 2015，或者延长多久。

Darktrace安全与AI战略副总裁Nathaniel Jones告诉CSO：“如果该法律失效’持续很长时间，将削弱整个行业共享和增强网络威胁指标实时共享的能力’。”

Lumifi Cyber现场CISO、西雅图前CISO Mike Hamilton表示：“这项法案的全部目的是在关键部门需要共享信息时，为通信提供一层绝缘保护。现在，私营部门将非常不愿意告诉任何人他们发生了什么。”

CISA 2015明确授权私营实体采取某些防御措施来阻止网络攻击，监控自身和客户网络的网络威胁（需获得书面授权和同意），并共享网络威胁指标以提供更好的网络威胁检测和响应。

该法案为拥有美国大部分关键基础设施的私营部门与美国政府和私营部门同行共享威胁信息提供了法律责任保护。此外，它对共享信息的使用方式设置了限制，并提供了多项防止意外披露的保护措施。

该立法提供的保护包括：

大多数国会观察家认为，鉴于CISA 2015获得广泛支持，国会将不可避免地找到结束政府停摆的解决方案，并在此过程中至少通过CISA 2015的临时延期。

众议院国土安全委员会主席Andrew Garbarino（R-NY）在给CSO的声明中表示：“在短期和长期内，我都致力于与国会同事一起寻找最佳前进道路，重新授权和增强这些基本权限。”

Darktrace的Jones表示：“可能只会有一个短期窗口，他们会断开连接，然后尝试找出更长的延期方案。目前，提案是10年，我认为这更有意义，但人们会寻求给予临时权宜之计。”

真正的问题是国会需要多长时间来延长CISA 2015。专家强调，CISA 2015失效对美国网络安全的损害与其失效时间长短直接相关。Lumifi的Hamilton表示：“如果只是短期窗口，我认为不会有太大影响。”

Venable的Schwartz认为，国会等待行动的时间越长，情况就会变得越来越有问题。“如果是两天，对公司来说影响不会那么大，“他说。“如果持续一段时间，没有这项规定将会产生影响。”

Schwartz还认为，在CISA 2015通过之前根据协商的信息共享安排运作的组织可能会表现得更好，因为它们有现有的法律框架可以依靠。“如果是在2015年之前完成的，那么你可能有针对ISACs的一些共享协议可能仍然有效，“他指的是信息共享和分析中心。“可能有些事情他们需要稍作更新，但不会太多。”

该法律失效的影响也因行业而异。Schwartz强调：“对某些行业来说，影响要比那些之前没有共享、没有协议或没有在协议上工作的行业小得多。对他们来说，这将是一项相当多的工作。”

然而，Schwartz建议CISO在未来任何信息共享工作之前，与内部或外部法律顾问密切合作，以免因任何法律失误而承担责任。

“你需要去找律师，“他说。“你需要法律审查。如果你是CISO，你必须去找你的内部法律顾问，告诉他们’我们听说这项法律没有通过，我们想确保我们不会做任何会给公司带来未来责任的事情。'”

这种级别的法律审查无疑会减慢任何威胁或可能防御技术共享的速度。“律师将研究并审查一直在进行的共享类型，可能违反哪些法律，以及是否有协议规定在另一侧如何处理，“Schwartz说。

他补充道：“信息共享仍会进行，但我们已经倒退了好几步。”