《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 美網(wǎng)絡(luò)安全事件報告制度爭議將塵埃落定--72小時內(nèi)報告有望納入國防授權(quán)法案

美網(wǎng)絡(luò)安全事件報告制度爭議將塵埃落定--72小時內(nèi)報告有望納入國防授權(quán)法案

2021-11-08
來源:網(wǎng)空閑話
關(guān)鍵詞: 網(wǎng)絡(luò)安全 法案

  當(dāng)?shù)貢r間11月4日,,美國民主、共和兩黨參議員組成的小組正準(zhǔn)備在即將到來的年度國防授權(quán)法案(NDAA)中加入一項條款,,該條款將要求某些關(guān)鍵基礎(chǔ)設(shè)施組織在72小時內(nèi)向政府報告重大網(wǎng)絡(luò)事件。當(dāng)天晚間宣布的這項修正案還將允許關(guān)鍵基礎(chǔ)設(shè)施組織,、非營利組織,、州和地方政府以及某些企業(yè)在24小時內(nèi)報告因勒索軟件攻擊而向黑客支付的款項。在經(jīng)歷了一年不斷升級的網(wǎng)絡(luò)攻擊后,,有關(guān)網(wǎng)絡(luò)事件和勒索支付贖金都將上報給網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA),,以使監(jiān)管機構(gòu)對國家網(wǎng)絡(luò)安全狀況有更大的透明度。

  修正案是兩黨妥協(xié)的結(jié)果

  該修正案由參議院國土安全和政府事務(wù)委員會主席加里·彼得斯(密歇根州民主黨),、高級成員羅布·波特曼(俄亥俄州共和黨),、參議院情報委員會主席馬克·華納(弗吉尼亞州民主黨)和參議員蘇珊·柯林斯(緬因州共和黨)共同發(fā)起。

  修正案也是兩位參議員談判的結(jié)果:彼得斯和波特曼在9月提出了一項立法,,提出了72小時的時間表,而華納,、柯林斯和參議院情報委員會(Senate Intelligence Committee)除其他三名成員外,,其他所有成員在7月提出了一項單獨的法案,列出了24小時的時間表,。

  彼得斯在一份聲明中說:“網(wǎng)絡(luò)攻擊和勒索軟件攻擊是嚴重的國家安全威脅,,影響了從能源部門到聯(lián)邦政府和美國人自己的敏感個人信息的方方面面,。”

  行業(yè)組織反對24小時報告的要求,,認為這沒有給他們足夠的時間來評估事故,,并限制報告較少的重大事故。

  彼得斯認為,,該修正案將采取重大步驟加強網(wǎng)絡(luò)安全保護,,確保CISA站在國家應(yīng)對嚴重入侵的前沿,最重要的是,,要求及時向聯(lián)邦政府報告這些攻擊,,以便能更好地防止未來的事件,并追究攻擊者的責(zé)任,。

  華納在一份聲明中說:“似乎每天美國人一覺醒來都會聽到又一場勒索軟件攻擊或網(wǎng)絡(luò)入侵的消息,,但SolarWinds的黑客事件向我們表明,沒有人負責(zé)收集這些事件的規(guī)模和范圍的信息,?!薄拔覀儾荒芤揽孔栽笀蟾鎭肀Wo關(guān)鍵基礎(chǔ)設(shè)施——我們需要一次例行報告要求,因此當(dāng)我們經(jīng)濟的重要行業(yè)受到網(wǎng)絡(luò)事件影響,,聯(lián)邦政府應(yīng)調(diào)動充足資源應(yīng)對,,避免其影響?!?/p>

  “我很高興我們能夠就這一修正案達成兩黨妥協(xié),,解決這些備受矚目的黑客事件所引發(fā)的許多核心問題,”他補充說,。

  華納呼吁采取更多行動應(yīng)對這些威脅,,并指出了不斷升級的網(wǎng)絡(luò)事件,包括今年早些時候針對Colonial Pipeline和肉類生產(chǎn)商JBS USA的勒索軟件攻擊,,以及去年的SolarWinds黑客攻擊,。

  參閱:24小時內(nèi)報告網(wǎng)絡(luò)入侵事件,美議員力推網(wǎng)絡(luò)安全事件報告立法

  《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)將相應(yīng)更新

  該修正案還包括對《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的語言更新,,以明確關(guān)鍵機構(gòu)在應(yīng)對網(wǎng)絡(luò)事件中的角色,,該法案是基于彼得斯和波特曼上月提出的另一項立法。

  波特曼在一份聲明中說:“這項兩黨修正案將對FISMA進行重大更新,,通過明確職責(zé)和要求政府在美國人民的信息被泄露時迅速通知美國人民,,為解決聯(lián)邦網(wǎng)絡(luò)安全長期存在的弱點提供必要的問責(zé)機制?!?/p>

  必須通過的NDAA經(jīng)常被用來推動其他可能得不到投票的措施,。去年的NDAA包括超過24項主要的網(wǎng)絡(luò)建議,包括在白宮設(shè)立國家網(wǎng)絡(luò)主管職位,。

  緬因州共和黨議員柯林斯4日強調(diào),,修正案中的報告要求和其他措施對加強國家安全是必要的,。柯林斯說:“對國家面臨的網(wǎng)絡(luò)攻擊的危險有一個清晰的認識是必要的,,這對優(yōu)先考慮并采取行動來減輕和減少威脅是必要的,。”“未能制定強有力的網(wǎng)絡(luò)事件通知要求,,只會讓我們的對手有更多機會收集關(guān)于我們政府的情報,,竊取我們公司的知識產(chǎn)權(quán),并損害我們的關(guān)鍵基礎(chǔ)設(shè)施,?!彼f:“我敦促我的同事們通過我們的修正案,這是常識,,早就該通過了,。”

  國會支持關(guān)鍵基礎(chǔ)設(shè)施的強制性網(wǎng)絡(luò)事件報告

  據(jù)估計,,美國的關(guān)鍵基礎(chǔ)設(shè)施當(dāng)中85%的是由私人實體控制的,,其中許多未能實踐基本網(wǎng)絡(luò)衛(wèi)生——在11月4日的聽證會上,證人告訴眾議院議員,,對關(guān)鍵基礎(chǔ)設(shè)施實施強制性網(wǎng)絡(luò)事件報告要求的時機可能已經(jīng)成熟,。

  俄勒岡州民主黨眾議員彼得·德法齊奧(Peter DeFazio)指出,最近對交通部門的一項調(diào)查發(fā)現(xiàn),,39%的受訪者沒有任何專門負責(zé)網(wǎng)絡(luò)安全的工作人員,,24%的人根本沒有對他們的員工進行網(wǎng)絡(luò)安全培訓(xùn)。

  他在一個委員會聽證會上說,,水務(wù)部門的情況看起來更糟,。今年6月公布的一項調(diào)查發(fā)現(xiàn),42%的水務(wù)和污水處理公司表示,,他們沒有對員工進行任何網(wǎng)絡(luò)安全培訓(xùn),,其中超過68%的公司表示,他們沒有參加任何與網(wǎng)絡(luò)安全相關(guān)的訓(xùn)練或演習(xí),。

  更重要的是,,他說,聯(lián)邦調(diào)查局估計,,只有15%的網(wǎng)絡(luò)犯罪實際上被報告,。

  德法齊奧說:“由于美國的公共安全和國家經(jīng)濟安全處于危險之中,私營部門的自愿措施可能是時候讓位于強制性的聯(lián)邦報告要求了,?!薄拔覀兊恼_的方向前進。我們需要做得更多?!?/p>

  德法齊奧主席提出了兩種解決方案,在聽證會上作證的行業(yè)專家都認為這兩種方案可行,。第一:強制要求向聯(lián)邦政府報告網(wǎng)絡(luò)事件,。第二:在所有關(guān)鍵基礎(chǔ)設(shè)施組織中都需要配備一名負責(zé)網(wǎng)絡(luò)安全的專職員工。

  交通,、水務(wù)等行業(yè)的負責(zé)人對強制性報告網(wǎng)絡(luò)事件的做法表示了積極的支持和肯定,。關(guān)鍵基礎(chǔ)設(shè)施行業(yè)對事件后的響應(yīng)和恢復(fù)更加關(guān)注,期望有一個正確的可落地的報告后的處置措施,。比如網(wǎng)絡(luò)恢復(fù)能力有一個強制性的最低標(biāo)準(zhǔn)和基線標(biāo)準(zhǔn),,許多類型的事情——報告、識別,、緩解策略——都將開始得到解決,。

  延伸閱讀--我國“關(guān)基”運營者如何報告網(wǎng)絡(luò)安全事件?

  發(fā)生網(wǎng)絡(luò)安全事件后是否要向監(jiān)管部門報告,,確實是一個比較復(fù)雜的問題,,“關(guān)基”企業(yè)要在監(jiān)管、合規(guī)要求與企業(yè)的財務(wù),、聲譽損失之間尋求平衡,。我國的相關(guān)法律法規(guī)對“關(guān)基”運營者的網(wǎng)絡(luò)安全事件報告有這樣的規(guī)定:

  我國《網(wǎng)絡(luò)安全法》第二十五條規(guī)定:網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞,、計算機病毒,、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險,;在發(fā)生危害網(wǎng)絡(luò)安全的事件時,,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施,,并按照規(guī)定向有關(guān)主管部門報告,。

  《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十八條規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時,運營者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護工作部門,、公安機關(guān)報告,。

  發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露,、較大規(guī)模個人信息泄露,、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時,,保護工作部門應(yīng)當(dāng)在收到報告后,,及時向國家網(wǎng)信部門、國務(wù)院公安部門報告。

  正常情況下理解《條例》中的“應(yīng)當(dāng)”,,是帶有強制性的要求,。但在實踐中是否真實能落實,還有待細化,。即使強制要求報告,,報告的內(nèi)容、時機,、時限均不夠明確,,期待在《條例》的實施細則中能進一步明確。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。