用胡萝卜加大棒保护关键基础设施-51CTO.COM

不久前，网络安全还是一个人们感兴趣的边缘话题。现在，成为头条新闻的违规行为影响着大量的普通公民。整个城市都发现自己受到网络攻击。在很短的时间内，网络在国家话语中占据了重要地位。如今，政府、监管机构和企业必须共同努力应对这一日益严重的威胁。

那么联邦政府如何加强关键基础设施的安全呢？看起来他们正在使用胡萝卜加大棒的方法。

早在 2022 年 3 月，《关键基础设施网络事件报告法案》(CIRCIA) 就已签署成为法律。它要求包括金融服务在内的关键基础设施公司向网络安全和基础设施安全局（CISA）报告网络安全事件，例如勒索软件攻击。就是那根棍子。

现在，联邦能源监管委员会推出的新的自愿网络激励框架将允许公用事业公司申请基于激励的费率恢复。当公司进行某些经过资格预审的网络安全投资或加入威胁信息共享计划时，他们可以做到这一点。新规则有助于克服关键基础设施所有者和运营商面临的最大障碍之一：缺乏资金投资网络安全。那就是胡萝卜。

随着关键基础设施成为威胁行为者越来越有吸引力的目标，这种胡萝卜加大棒的方法是否足够？

监管即将出台

在美国，两项网络安全法规将影响商业领域的多个行业。首先，CIRCIA要求包括金融服务在内的关键基础设施公司向 CISA 报告网络安全事件，例如勒索软件攻击。

在最终规则生效之前，无需根据 CIRCIA 报告网络事件和勒索软件。尽管如此，CISA 仍鼓励关键基础设施所有者和运营商在最终规则生效之前自愿分享网络事件信息。

此外，美国证券交易委员会（SEC）提出了一项规则，要求上市公司报告网络安全事件、其网络安全能力以及董事会的网络安全专业知识和监督。

SEC 的 2022 年秋季监管和放松监管行动统一议程提出了以网络安全为重点的议程项目，包括：

解决注册人网络安全风险和相关披露的规则
规则修订，以便更好地向投资者通报注册人的网络安全风险管理、战略和治理，并及时通知重大网络安全事件
加强基金和投资顾问与网络安全风险相关的披露和治理的规则。

网络攻击报告不足

网络攻击的受害者包括一些最大的能源供应商、保险公司和金融服务公司。与此同时，FBI 报告称，2022 年收到了超过 80 万起与网络犯罪相关的投诉。根据联邦调查局互联网犯罪投诉中心 (IC3) 的数据，总损失超过 100 亿美元，远超 2021 年的 69 亿美元。

然而，这些统计数据仅代表所有网络犯罪活动的一小部分。此前，FBI 估计其收到的投诉仅占所有网络犯罪的 10-12%。其他研究也得出结论，少报网络犯罪——即使法律强制披露——似乎是常态。Bitdefender最近的一份报告显示，超过 40% 的受访 IT 安全专业人士表示，他们被告知要对网络违规行为保持沉默。美国受访者中这一数字增至 71%。

网络犯罪未被举报的原因有很多。首先，一些组织甚至可能没有意识到他们是攻击或违规的受害者。其他公司由于声誉问题或担心客户或投资者的强烈反对而避免报告网络犯罪。公司也可能认为支付赎金是解决问题的最简单途径。对诉讼的恐惧也可能阻止公司报告数据泄露事件。

然而，考虑到 CIRCIA 和 SEC 计划的网络披露法规，这些借口可能不再可行。

网络安全投资激励措施

联邦政府继续寻求改善基础设施安全的方法，这已成为白宫的首要任务。关键基础设施对于攻击者来说是一个诱人的目标，尤其是国家资助的组织。

《联邦公报》将以下来源视为潜在的网络安全投资，将显着改善公用事业公司的安全状况：

NIST 特别出版物 (SP) 800-53 “信息系统和组织的安全和隐私控制”目录中列举了安全控制。
安全控制满足 NIST 网络安全框架中的目标。
美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 或能源部 (DOE) 的具体建议。
CISA Shields Up活动的具体建议。
参与网络安全风险信息共享计划（CRISP）或类似的网络安全威胁信息共享计划。
最高成熟度指标级别的网络安全能力成熟度模型 (C2M2)领域。

显然，业主和运营商必须提高网络防御能力。鉴于公用事业预算受到监管，联邦政府明白必须提供新的资金来源。但这笔账单将由电力消费者支付。这进一步证明了网络安全如何影响经济稳定。看来我们所有人都必须为更强的网络安全做出牺牲。

用胡萝卜加大棒保护关键基础设施

监管即将出台

网络攻击报告不足

更多正向激励

网络安全投资激励措施