美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。
新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见,为期60天。
CISA估计,未来11年该规定的合规成本将达到26亿美元,即每年约2.3亿美元,其中行业成本为14亿美元,联邦政府成本为12亿美元。
白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告,从而更好地识别攻击模式,确定网络犯罪分子和国家黑客使用的攻击策略,改进防御手段。
“72小时新规”遭企业强烈反对
根据新规,拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击,并在24小时内报告勒索软件支付情况。
该规定一经发布就遭到大量公司反对,这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节,这有利于攻击者。
企业还指出,他们必须遵守各个联邦机构多如牛毛(数十个)报告要求,以及州数据泄露法律。
谁需要遵守新规?
CISA表示,该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者,例如医疗、能源、制造业和金融服务业。该规定还将适用于那些不运营关键基础设施,但其系统可能对特定行业关键基础设施造成影响的企业,例如服务提供商。
CISA估计,将有超过31.6万个实体受到新规监管,“在未来十年内将总共提交约21万份CIRCIA报告”。
CISA在其长达447页的草案中表示:“来自广泛实体的报告对于提供关键基础设施领域网络环境的充分可见性至关重要,这也是CIRCIA旨在促进的。”
根据美国小企业管理局(SBA)标准,收入和员工人数达标的小型组织将获得豁免。
曾领导CISA的新冠病毒特别工作组两年的网络安全专家JoshCorman对CISA的监管范围划分提出质疑。他指出,新规仅关注大型组织,忽视了小公司在许多行业中发挥的关键作用。例如,美国许多医院和医疗器械公司的规模都低于CIRCIA规定的规模。按照新规,只有100张以上床位的医院才需要遵守新规,这将排除绝大多数医疗机构。
什么是“重大”网络安全事件?
新规要求企业在72小时内报告“重大”网络攻击,并在24小时内报告勒索软件支付情况。
对于“重大”网络安全事件的界定,CISA认为,涉及非法访问系统并导致停机或运营严重受损的攻击将触发报告要求的门槛。
例如,暂时阻止客户访问公司公共网站的分布式拒绝服务(DDoS)攻击不会被视为重大攻击,成功但被迅速阻止且未造成影响的网络钓鱼攻击也不会被视为重大攻击。然而,针对关键功能/业务造成重大停机的DDoS攻击,或者通过第三方提供商凭证未经授权访问公司系统的情况将符合标准。
但CISA表示,并非所有网络安全事件都会触发报告义务。这包括由第三方服务提供商在服务器配置中出现的一些错误,如果没有造成严重停机,则无需报告。另一个例外是公司明确批准的外部承包商(例如渗透测试人员)对网络防御进行的测试。
最后,CISA鼓励企业报告所有网络安全事件,无论是否达到监管标准。
新规与其他报告要求有何不同?
CISA新规的72小时的报告时限要求远高于美国证券交易委员会(SEC)的“四日新规”。SEC要求公司在确定网络攻击将对其运营产生重大影响后,最迟在四个工作日内进行报告,并且这些报告将通过监管文件公开。
CISA给出的时间窗口窄很多,但与SEC的公开流程不同,CISA将对安全事件报告进行保密处理,并按季度发布汇总的匿名统计数据。
CISA表示正在采取措施使其监管要求与其他要求保持一致,并且在某些情况下允许企业用CIRCIA报告替代其他报告。其他规定在实质上必须相似,CISA必须执行跨机构协议才能做到这一点。
不遵守规定会受到处罚吗?
CISA可以追究行政处罚。如果CISA认为一家公司遭受了网络攻击或支付了赎金却没有报告,它可以发出信息请求,然后在必要时发出传票强制披露。如果一家公司无视传票,CISA还可将此事提交给司法部长进行民事诉讼。
故意向联邦政府提供虚假陈述可能会导致罚款和监禁。CISA表示,他们不会将网络攻击开始时出于善意提供的,此后被证明不准确的信息视为虚假陈述。
