美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)本周四發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施企業(yè)如何向政府報告網(wǎng)絡(luò)攻擊的規(guī)定草案。

新規(guī)基于拜登2022年3月15日簽署的美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》(簡稱CIRCIA)。這是美國聯(lián)邦政府首次提出一套跨關(guān)鍵基礎(chǔ)設(shè)施部門的全面網(wǎng)絡(luò)安全規(guī)則。CISA正在就規(guī)則草案征求公眾意見，為期60天。

CISA估計，未來11年該規(guī)定的合規(guī)成本將達到26億美元，即每年約2.3億美元，其中行業(yè)成本為14億美元，聯(lián)邦政府成本為12億美元。

白宮官員們希望該法案和執(zhí)行規(guī)則能讓各行業(yè)關(guān)鍵基礎(chǔ)設(shè)施企業(yè)及時提交網(wǎng)絡(luò)安全事件報告，從而更好地識別攻擊模式，確定網(wǎng)絡(luò)犯罪分子和國家黑客使用的攻擊策略，改進防御手段。

“72小時新規(guī)”遭企業(yè)強烈反對

根據(jù)新規(guī)，擁有和運營關(guān)鍵基礎(chǔ)設(shè)施的公司需要在72小時內(nèi)報告重大網(wǎng)絡(luò)攻擊，并在24小時內(nèi)報告勒索軟件支付情況。

該規(guī)定一經(jīng)發(fā)布就遭到大量公司反對，這些公司稱早期評估攻擊很困難。他們還擔(dān)心披露太多細節(jié)可能會泄露事件響應(yīng)過程和網(wǎng)絡(luò)防御的細節(jié)，這有利于攻擊者。

企業(yè)還指出，他們必須遵守各個聯(lián)邦機構(gòu)多如牛毛(數(shù)十個)報告要求，以及州數(shù)據(jù)泄露法律。

誰需要遵守新規(guī)?

CISA表示，該規(guī)定適用于任何擁有或運營美國政府歸類為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)的所有者，例如醫(yī)療、能源、制造業(yè)和金融服務(wù)業(yè)。該規(guī)定還將適用于那些不運營關(guān)鍵基礎(chǔ)設(shè)施，但其系統(tǒng)可能對特定行業(yè)關(guān)鍵基礎(chǔ)設(shè)施造成影響的企業(yè)，例如服務(wù)提供商。

CISA估計，將有超過31.6萬個實體受到新規(guī)監(jiān)管，“在未來十年內(nèi)將總共提交約21萬份CIRCIA報告”。

CISA在其長達447頁的草案中表示：“來自廣泛實體的報告對于提供關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域網(wǎng)絡(luò)環(huán)境的充分可見性至關(guān)重要，這也是CIRCIA旨在促進的。”

根據(jù)美國小企業(yè)管理局(SBA)標(biāo)準(zhǔn)，收入和員工人數(shù)達標(biāo)的小型組織將獲得豁免。

曾領(lǐng)導(dǎo)CISA的新冠病毒特別工作組兩年的網(wǎng)絡(luò)安全專家JoshCorman對CISA的監(jiān)管范圍劃分提出質(zhì)疑。他指出，新規(guī)僅關(guān)注大型組織，忽視了小公司在許多行業(yè)中發(fā)揮的關(guān)鍵作用。例如，美國許多醫(yī)院和醫(yī)療器械公司的規(guī)模都低于CIRCIA規(guī)定的規(guī)模。按照新規(guī)，只有100張以上床位的醫(yī)院才需要遵守新規(guī)，這將排除絕大多數(shù)醫(yī)療機構(gòu)。

什么是“重大”網(wǎng)絡(luò)安全事件?

新規(guī)要求企業(yè)在72小時內(nèi)報告“重大”網(wǎng)絡(luò)攻擊，并在24小時內(nèi)報告勒索軟件支付情況。

對于“重大”網(wǎng)絡(luò)安全事件的界定，CISA認為，涉及非法訪問系統(tǒng)并導(dǎo)致停機或運營嚴重受損的攻擊將觸發(fā)報告要求的門檻。

例如，暫時阻止客戶訪問公司公共網(wǎng)站的分布式拒絕服務(wù)(DDoS)攻擊不會被視為重大攻擊，成功但被迅速阻止且未造成影響的網(wǎng)絡(luò)釣魚攻擊也不會被視為重大攻擊。然而，針對關(guān)鍵功能/業(yè)務(wù)造成重大停機的DDoS攻擊，或者通過第三方提供商憑證未經(jīng)授權(quán)訪問公司系統(tǒng)的情況將符合標(biāo)準(zhǔn)。

但CISA表示，并非所有網(wǎng)絡(luò)安全事件都會觸發(fā)報告義務(wù)。這包括由第三方服務(wù)提供商在服務(wù)器配置中出現(xiàn)的一些錯誤，如果沒有造成嚴重停機，則無需報告。另一個例外是公司明確批準(zhǔn)的外部承包商(例如滲透測試人員)對網(wǎng)絡(luò)防御進行的測試。

最后，CISA鼓勵企業(yè)報告所有網(wǎng)絡(luò)安全事件，無論是否達到監(jiān)管標(biāo)準(zhǔn)。

新規(guī)與其他報告要求有何不同?

CISA新規(guī)的72小時的報告時限要求遠高于美國證券交易委員會(SEC)的“四日新規(guī)”。SEC要求公司在確定網(wǎng)絡(luò)攻擊將對其運營產(chǎn)生重大影響后，最遲在四個工作日內(nèi)進行報告，并且這些報告將通過監(jiān)管文件公開。

CISA給出的時間窗口窄很多，但與SEC的公開流程不同，CISA將對安全事件報告進行保密處理，并按季度發(fā)布匯總的匿名統(tǒng)計數(shù)據(jù)。

CISA表示正在采取措施使其監(jiān)管要求與其他要求保持一致，并且在某些情況下允許企業(yè)用CIRCIA報告替代其他報告。其他規(guī)定在實質(zhì)上必須相似，CISA必須執(zhí)行跨機構(gòu)協(xié)議才能做到這一點。

不遵守規(guī)定會受到處罰嗎?

CISA可以追究行政處罰。如果CISA認為一家公司遭受了網(wǎng)絡(luò)攻擊或支付了贖金卻沒有報告，它可以發(fā)出信息請求，然后在必要時發(fā)出傳票強制披露。如果一家公司無視傳票，CISA還可將此事提交給司法部長進行民事訴訟。

故意向聯(lián)邦政府提供虛假陳述可能會導(dǎo)致罰款和監(jiān)禁。CISA表示，他們不會將網(wǎng)絡(luò)攻擊開始時出于善意提供的，此后被證明不準(zhǔn)確的信息視為虛假陳述。