美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)本周四發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施企業(yè)如何向政府報(bào)告網(wǎng)絡(luò)攻擊的規(guī)定草案。

新規(guī)基于拜登2022年3月15日簽署的美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》(簡稱CIRCIA)。這是美國聯(lián)邦政府首次提出一套跨關(guān)鍵基礎(chǔ)設(shè)施部門的全面網(wǎng)絡(luò)安全規(guī)則。CISA正在就規(guī)則草案征求公眾意見，為期60天。

CISA估計(jì)，未來11年該規(guī)定的合規(guī)成本將達(dá)到26億美元，即每年約2.3億美元，其中行業(yè)成本為14億美元，聯(lián)邦政府成本為12億美元。

白宮官員們希望該法案和執(zhí)行規(guī)則能讓各行業(yè)關(guān)鍵基礎(chǔ)設(shè)施企業(yè)及時(shí)提交網(wǎng)絡(luò)安全事件報(bào)告，從而更好地識別攻擊模式，確定網(wǎng)絡(luò)犯罪分子和國家黑客使用的攻擊策略，改進(jìn)防御手段。

“72小時(shí)新規(guī)”遭企業(yè)強(qiáng)烈反對

根據(jù)新規(guī)，擁有和運(yùn)營關(guān)鍵基礎(chǔ)設(shè)施的公司需要在72小時(shí)內(nèi)報(bào)告重大網(wǎng)絡(luò)攻擊，并在24小時(shí)內(nèi)報(bào)告勒索軟件支付情況。

該規(guī)定一經(jīng)發(fā)布就遭到大量公司反對，這些公司稱早期評估攻擊很困難。他們還擔(dān)心披露太多細(xì)節(jié)可能會(huì)泄露事件響應(yīng)過程和網(wǎng)絡(luò)防御的細(xì)節(jié)，這有利于攻擊者。

企業(yè)還指出，他們必須遵守各個(gè)聯(lián)邦機(jī)構(gòu)多如牛毛(數(shù)十個(gè))報(bào)告要求，以及州數(shù)據(jù)泄露法律。

誰需要遵守新規(guī)?

CISA表示，該規(guī)定適用于任何擁有或運(yùn)營美國政府歸類為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)的所有者，例如醫(yī)療、能源、制造業(yè)和金融服務(wù)業(yè)。該規(guī)定還將適用于那些不運(yùn)營關(guān)鍵基礎(chǔ)設(shè)施，但其系統(tǒng)可能對特定行業(yè)關(guān)鍵基礎(chǔ)設(shè)施造成影響的企業(yè)，例如服務(wù)提供商。

CISA估計(jì)，將有超過31.6萬個(gè)實(shí)體受到新規(guī)監(jiān)管，“在未來十年內(nèi)將總共提交約21萬份CIRCIA報(bào)告”。

CISA在其長達(dá)447頁的草案中表示：“來自廣泛實(shí)體的報(bào)告對于提供關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域網(wǎng)絡(luò)環(huán)境的充分可見性至關(guān)重要，這也是CIRCIA旨在促進(jìn)的?！?/p>

根據(jù)美國小企業(yè)管理局(SBA)標(biāo)準(zhǔn)，收入和員工人數(shù)達(dá)標(biāo)的小型組織將獲得豁免。

曾領(lǐng)導(dǎo)CISA的新冠病毒特別工作組兩年的網(wǎng)絡(luò)安全專家JoshCorman對CISA的監(jiān)管范圍劃分提出質(zhì)疑。他指出，新規(guī)僅關(guān)注大型組織，忽視了小公司在許多行業(yè)中發(fā)揮的關(guān)鍵作用。例如，美國許多醫(yī)院和醫(yī)療器械公司的規(guī)模都低于CIRCIA規(guī)定的規(guī)模。按照新規(guī)，只有100張以上床位的醫(yī)院才需要遵守新規(guī)，這將排除絕大多數(shù)醫(yī)療機(jī)構(gòu)。

什么是“重大”網(wǎng)絡(luò)安全事件?

新規(guī)要求企業(yè)在72小時(shí)內(nèi)報(bào)告“重大”網(wǎng)絡(luò)攻擊，并在24小時(shí)內(nèi)報(bào)告勒索軟件支付情況。

對于“重大”網(wǎng)絡(luò)安全事件的界定，CISA認(rèn)為，涉及非法訪問系統(tǒng)并導(dǎo)致停機(jī)或運(yùn)營嚴(yán)重受損的攻擊將觸發(fā)報(bào)告要求的門檻。

例如，暫時(shí)阻止客戶訪問公司公共網(wǎng)站的分布式拒絕服務(wù)(DDoS)攻擊不會(huì)被視為重大攻擊，成功但被迅速阻止且未造成影響的網(wǎng)絡(luò)釣魚攻擊也不會(huì)被視為重大攻擊。然而，針對關(guān)鍵功能/業(yè)務(wù)造成重大停機(jī)的DDoS攻擊，或者通過第三方提供商憑證未經(jīng)授權(quán)訪問公司系統(tǒng)的情況將符合標(biāo)準(zhǔn)。

但CISA表示，并非所有網(wǎng)絡(luò)安全事件都會(huì)觸發(fā)報(bào)告義務(wù)。這包括由第三方服務(wù)提供商在服務(wù)器配置中出現(xiàn)的一些錯(cuò)誤，如果沒有造成嚴(yán)重停機(jī)，則無需報(bào)告。另一個(gè)例外是公司明確批準(zhǔn)的外部承包商(例如滲透測試人員)對網(wǎng)絡(luò)防御進(jìn)行的測試。

最后，CISA鼓勵(lì)企業(yè)報(bào)告所有網(wǎng)絡(luò)安全事件，無論是否達(dá)到監(jiān)管標(biāo)準(zhǔn)。

新規(guī)與其他報(bào)告要求有何不同?

CISA新規(guī)的72小時(shí)的報(bào)告時(shí)限要求遠(yuǎn)高于美國證券交易委員會(huì)(SEC)的“四日新規(guī)”。SEC要求公司在確定網(wǎng)絡(luò)攻擊將對其運(yùn)營產(chǎn)生重大影響后，最遲在四個(gè)工作日內(nèi)進(jìn)行報(bào)告，并且這些報(bào)告將通過監(jiān)管文件公開。

CISA給出的時(shí)間窗口窄很多，但與SEC的公開流程不同，CISA將對安全事件報(bào)告進(jìn)行保密處理，并按季度發(fā)布匯總的匿名統(tǒng)計(jì)數(shù)據(jù)。

CISA表示正在采取措施使其監(jiān)管要求與其他要求保持一致，并且在某些情況下允許企業(yè)用CIRCIA報(bào)告替代其他報(bào)告。其他規(guī)定在實(shí)質(zhì)上必須相似，CISA必須執(zhí)行跨機(jī)構(gòu)協(xié)議才能做到這一點(diǎn)。

不遵守規(guī)定會(huì)受到處罰嗎?

CISA可以追究行政處罰。如果CISA認(rèn)為一家公司遭受了網(wǎng)絡(luò)攻擊或支付了贖金卻沒有報(bào)告，它可以發(fā)出信息請求，然后在必要時(shí)發(fā)出傳票強(qiáng)制披露。如果一家公司無視傳票，CISA還可將此事提交給司法部長進(jìn)行民事訴訟。

故意向聯(lián)邦政府提供虛假陳述可能會(huì)導(dǎo)致罰款和監(jiān)禁。CISA表示，他們不會(huì)將網(wǎng)絡(luò)攻擊開始時(shí)出于善意提供的，此后被證明不準(zhǔn)確的信息視為虛假陳述。