强制关键基础设施网络事件报告加强勒索软件攻击应对措施

2022-05-06 22:50孔勇韩继登王义华
中国信息化 2022年4期
关键词:赎金勒索关键

孔勇 韩继登 王义华

2022年3月15.美国总统拜登签署通过了《2022年综合拨款法案》,这是美国第177届国会第二次年度会议上通过的系列法案,总共斥资136亿美元用于应对俄乌冲突对国家的影响,主要由34个独立法案组成。其中的《2022年关键基础设施网络事件报告法案》(Cyber Incident Reporting For Critical InfrastructureACT Of 2022)作为美国关键基础设施保护的重要法案,旨在加强联邦政府与关键基础设施实体以及联邦政府机构之间的网络事件信息共享。该法案的通过将有助于联邦政府及时获取关键基础设施实体遭受网络事件和勒索软件攻击的情况,以便及时给予响应,确保美国政府对关键基础设施网络安全态势的即时感知。

一、发布背景

1996年7月15日,美国克林顿政府颁布第13010号行政令《关键基础设施保护》,首次提出关键基础设施的概念及重要作用,并成立关键基础设施保护机构,美国关键基础设施保护时代由此开启。此后,美国政府陆续出台有关关键基础设施安全保护政策.不断完善关键基础设施安全保护体系,至今已有二十六年的历史。

近年来,网络安全事件和勒索软件攻击已经对国家安全构成严重威胁,直接影响到政府和能源等行业的正常运行。面对SolarWinds供应链攻击、微软Exchange漏洞攻击,以及Colonial Pipeline输油管道等一连串备受瞩目的重大网络安全事件的发生,美国政府必须能够迅速协调响应,并追究不良行为者的责任。尤其是当前俄乌冲突持续焦灼,国与国之间的网络安全攻击也随即展开,关键基础设施成为网络攻击重点。仅仅依赖网络事件自愿报告的形式,不能够及时全面掌握关键基础设施等重要部门受到攻击的情况,致使政府不能够有效启动全部有效资源应对和减轻攻击造成的影响。

二、主要内容

美國《2022年关键基础设施网络事件报告法案》明确了关键基础设施实体报告网络事件的流程及基本要求,要求政府部门对网络事件报告进行审查并及时共享,以保证联邦政府对即时网络事件态势的感知。该法案还突出强调了对勒索软件攻击的应对,要求建立勒索软件漏洞预警试点程序并协商成立勒索软件防护工作组。

(一)关键基础设施网络事件的报告流程

法案要求,关键基础设施实体在遇到网络事件72小时内、被勒索软件勒索付款的24小时内必须向国土安全部(DHS)上报,国土安全部的国家网络安全和通信集成中心(NCCIC)进行报告的接收和审查工作,并与政府机构信息共享。网络安全与基础设施安全局( CISA)负责相关机构的整体组织协调,以及整体报告程序和具体规则的制定。

1.关键基础设施实体的范围

该法案定义了涵盖实体包括了2013年第21号总统令《关键基础设施安全和弹性》确定的16个关键基础设施行业实体,即化工、通信、水坝、应急服务、金融、政府设施、信息技术、交通运输、商业设施、关键制造业、国防工业、能源、农业食品、医疗保健与公共卫生、核设施、供水与废水处理行业。法案指出,在进一步定义涵盖实体时,CISA局长将进一步考虑其他因素,如损害一个实体可能导致的国家和经济安全的后果,该实体是否是恶意网络行为者的目标,以及攻击这样一个实体是否能够破坏关键基础设施。

2.关键基础设施网络事件的范围

法案规定,当涵盖实体遭受网络事件及勒索软件攻击时,需要进行相关情况的上报,上报范围主要包括网络事件、勒索软件攻击和赎金支付三类。

报告的网络事件是指严重损害信息系统或网络的机密性、完整性、或可用性的:严重影响操作系统和进程的安全性和弹性的:由于拒绝服务攻击、勒索软件共计或利用Oday漏洞造成操作系统或进程业务中断的事件。根据该法案,网络事件必须是一个由CISA局长进一步定义的法案所管辖的实体所经历的“重大网络事件”,才能被涵盖。

勒索软件攻击包括在信息系统上使用非法访问、恶意代码或其他数字机制(例如拒绝服务攻击)中断信息系统的操作、损害信息系统存储、处理或破坏电子数据的机密性、可用性或完整性以勒索赎金的事件。

赎金支付是指在任何时候作为赎金交付的与勒索软件攻击有关的任何金钱或其他财产或资产,包括虚拟货币,或其任何部分的传输。

3.网络事件报告的时间要求

强制要求上报的关键基础设施网络事件报告主要包括涵盖网络事件报告、赎金支付报告以及补充报告。

涵盖网络事件报告。经历涵盖网络事件的涵盖实体应在涵盖网络事件发生后72小时内向国土安全部报告涵盖网络事件。

赎金支付报告。涵盖实体因勒索软件攻击而支付赎金的,应在赎金支付24小时内向国土安全部报告付款情况。

补充报告。如果涵盖实体需要提交大量新的或不同的网络事件报告/支付赎金报告,则涵盖实体应及时向DHS提交之前涵盖网络事件报告的更新或补充,直到该涵盖网络事件已经结束或已完全减轻和解决。

除以上法案明确规定的报告以外,实体部门还可自愿向DHS提供法案中未规定的网络事件或赎金支付,或是自愿提供报告中未要求的额外信息,以增强DHS对网络威胁的态势感知。除此之外,若有已应用的、同样适用于处理法案中定义的网络事件的应急处置程序,也建议进行主动上报。

4.网络事件报告的内容要求

报告内容应包括对涵盖实体、涵盖网络事件和赎金支付的描述等内容。

对涵盖实体的描述具体应包括以下内容:破坏或损害这一实体可能对国家安全、经济安全或公共健康和安全造成的后果;该实体可能成为境内外非法攻击目标的可能性;以及对此类实体的破坏、中断、未经授权的访问(包括对敏感的网络安全漏洞或渗透测试工具或技术的访问)过程中,可能会破坏关键基础设施的操作。

对涵盖网络事件的描述具体应包括基本信息和风险判断内容。基本信息包括:已受到影响的信息系统、网络或设备:信息系统、网络或设备被损害程度;网络事件持续时间;对涵盖实体业务的影响;目前已实施的防御措施:可能的攻击者身份信息:已被攻击者获取的信息:被涵盖网络事件影响的涵盖实体的名称和其他信息(包括形态、商品名称、法律名称或其他标识符);涵盖实体授权代理人的联系信息。风险判断内容包括:判断该事件的复杂性或新颖性,以及受波及数据的类型、数量和敏感性、直接或间接影响的受害者人数以及对工业控制系统(比如监控和数据采集系统、分布式控制系统和可编程的逻辑控制器等)的潜在影响。

对赎金支付的描述具体应包括:勒索软件攻击具体描述及其攻击持续时间:勒索软件攻击的漏洞、实施的策略、技术和过程的尽可能描述:可能攻击者的身份信息;支付赎金的涵盖实体姓名及其联系信息:支付赎金的日期;赎金支付的要求(包括虚拟货币或其他商品类型):赎金支付指示(包括虚拟地址或物理交易地址):以及支付的金额。

此外,涵盖实体可授权第三方(如事件响应公司、保险提供商、服务提供商、信息分享和分析阻止或律师事务所等)提交涵盖网络事件或赎金支付报告。若受勒索软件攻击的涵盖实体使用第三方进行赎金支付,则不要求第三方为自己提交赎金支付报告,但应告知涵盖实体赎金支付的相关信息以便涵盖实体进行上报。

(二)关键基础设施网络事件报告审查与共享

1.网络事件报告的审查

国土安全部的国家网络安全和通信集成中心(NCCIC)负责关键基础设施网络事件报告的审查工作,主要包括即时审查和季度审查。即时审查是指在接受到涵盖网络事件或赎金支付报告之后,国家网络安全和通信集成中心根据2015年网络安全信息共享法案规定的流程,对所涵盖的网络事件或满足此类定义的相关网络事件的详细信息进行审查,并评估涉及的持续性网络威胁或安全漏洞的网络威胁指标,制定恰当的防御措施,传达给利益相关者或相关部门和机构。季度审查是指每季度国家网络安全和通信集成中心对当季涵盖网络事件报告进行审查,统计相关网络事件的数据,并发布非机密的公开报告,根据给出描述和整体建议。除此之外,在不迟于本法案生效日期后的60天起,每月初向上级政府机构提供简报,以提高跨关键基础设施部门对网络威胁的态势感知。

2.审查不合格情况的处理

对经过审查不符合要求的報告,CISA依据法案向涵盖实体发出传票,提起诉讼强制执行,以确保其收集发生的网络事件或赎金支付的信息。如果有充分理由证明所涵盖的实体经历了涵盖网络事件或支付了赎金,但未收到网络事件或支付赎金的报告.CISA可以要求涵盖实体提供补充资料。如果在局长提出信息请求之日起72小时后,没有收到有关涵盖实体的回应,则可向该涵盖实体发出传票,要求其按程序进行必要信息的强制上报。若涵盖实体未遵守传票,局长可将此事提交司法部长,向美国地区法院提起民事诉讼,以执行该传票。倘若根据局长发出的传票以及所提供的资料,确定与有关网络事件或赎金支付有关,且可构成采取监管执法行动或刑事检控的理由,法院可将未遵守根据本款发出的传票作为藐视法庭罪对涵盖实体予以处罚。

3.网络事件报告共享的时间要求

该法案要求CISA应在收到涵盖网络事件或赎金支付报告之后的24之内,参照报告信息公开要求并考虑隐私保护,尽可能以最大程度分享和协调每一份关键基础设施网络事件报告。此外,如果CISA在与相关政府机构之间具有更短时间期限的协议,应按照协议规定时间进行报告共享。

4.报告共享的信息披露、保留与使用

信息授权披露。依据法案规定向国土安全部提供的信息可向联邦法律的其他适用规定、任何政府机构或部门、官员、雇员或代理人披露以:保护网络安全:识别网络威胁和安全漏洞:阻止和减轻恐怖主义威胁:应对、调查、起诉或阻止和减轻对未成年人造成的威胁:阻止、调查、扰乱或起诉法案(包括本法案以及2015《网络安全法》)规定的网络事件引起的犯罪。

网络威胁指标共享。在收到根据本法案提交的网络事件或赎金支付报告后.NCCIC应立即审查报告,以确定报告中涵盖的网络事件是否与持续性网络威胁或安全漏洞有关。在适用的情况下,根据报告制定匿名网络威胁指标和可行的防御措施,并迅速传达给利益相关者。

安全漏洞管理。报告中提及到的安全漏洞信息,CISA应参考行业最佳做法以及美国和国际相关标准,制定漏洞修复时间和漏洞管理规定,管理与安全漏洞相关的信息。

公民隐私和数字安全。依据法案规定提交给DHS的网络事件和赎金支付报告中的信息可依规定保留、使用和传播。但依据《网络安全法》,联邦政府对于与网络安全威胁没有直接关系的特定个人的信息不得进行未经授权的使用和披露;除此之外.DHS应确保报告以及其包含的任何信息至少按照《美国联邦信息处理标准(199)》中所述的最低保护要求进行收集、存储和保护。

监管活动中的信息使用。联邦、州或地方政府不得在监管活动(包括执法、支付赎金)中直接使用报告中提供的的网络事件或赎金支付信息,除非政府明确允许实体向机构提交报告以满足实体的监管报告义务。

5.报告共享的其他要求

涵盖实体及其信息的保护。对于涵盖实体根据法案向DHS提交的网络事件或赎金的报告,以及自愿提交的网络事件报告.DHS应避免披露被覆盖实体指定的商业、财务及专有信息和信息公开或信息保护相关法律要求避免披露的信息。

与非政府实体的共享。在将报告中提供的信息提供给关键基础设施所有者、运营商和一般公众时,报告应匿名化该信息的受害者。

存储通信法案。本法案的任何内容均不得解释为允许或要求远程计算服务的提供者或电子通信服务的提供者向公众披露《存储通信法案》不允许披露的信息。

(三)应对勒索软件攻击的措施

1.建立勒索软件漏洞预警试点程序

在本法案颁布之后1年之内,CISA应利用现有的技术和已汇总的信息,建立勒索软件漏洞预警试点程序,以识别常见的或已发生过的勒索软件攻击,并及时预警相关信息系统所有者。在试点程序建立之后,CISA每年都应向国土安全部、政府事务委员会和众议院国土安全委员会进行报告,对该年度勒索软件漏洞预警试点程序识别漏洞、发出预警的次数、有效阻止或减轻威胁的情况进行说明。

2.成立联合勒索软件防护工作组

不迟于本法案颁布后的180天内,CISA局长应与国家网络总监、检察长、联邦调查局局长协商,建立联合勒索软件工作组。由CISA领导联合勒索软件工作组,协调组织勒索软件攻击防范工作,并择机开展国际合作。

(四)联邦政府的其他责任

1.报告程序和规则的制定

在法案颁布30天之内.CISA应就报告程序的最终规则以及利益相关者的参与方式进行构想并向国会进行报告。

本法案颁布之后24个月之内.CISA应与关键基础设施行业风险管理机构、司法部和其他政府机构协商,在联邦政府公报上发布拟制定规则的通知。在拟制定规则通知发布之后18个月之内.CISA应发布最终规则,以执行以上要求。在后续规则的修订和发布过程中,CISA局长有权发布条例,以修订最终规则,但遵守《美国法典》第553条发布建议的规则制定的通知。

2.报告流程的协调要求

国土安全部部长以及CISA局长,应定期审查现有的网络事件监管要求,在符合适用的法律和政策要求、不影响机构及时了解网络事件或赎金支付的能力的情况下,尽量简化报告流程,促进相关机构之间的跨部门协议。CISA应与管理和预算办公室主任、司法部长、国家网络总监、行业风险管理机构等政府机构协商,成立关键基础设施网络事件报告委员会,以协调、消除冲突或调整联邦事件报告要求(包括已发布的要求)。

在法案实施180天之后,针对重复性的网络事件、减轻网络事件发生采取的行动以及相关的法案修订建议,CISA应汇总形成法规协调报告,并上报给国会。

3.加大法案的宣传教育

国土安全部应针对涵盖实体、服务提供商、第三方实体等开展宣传和教育活动,主要对报告的最终规则、报告程序、可提供的保护措施、以及不按要求报告的惩罚措施等进行宣贯。

在进行宣传和教育活动时,国土安全部可与关键基础设施伙伴关系咨询委员会、信息共享和分析组织、贸易协会、信息共享和分析中心、行业协调委员会等相关实体进行协商合作。

三、要点分析

通过分析美国《2022年关键基础设施网络事件报告法案》,可以得到以下要点。

(一)通过立法强制报告,加强事件态势感知

与2016年第41号总统令《美国网络事件协调政策》和2021年CISA的《联邦政府网络安全事件和漏洞响应手册》对比,本法案强制要求关键基础设施实体在发生涵盖网络事件或勒索软件攻击之后,必须在规定时间内进行上报。在报告信息不完善或不主动上报时,CISA可采取强制措施保证网络事件的信息获取,并在造成严重后果时提起诉讼程序。与之前规定采取激励措施相比,本法案采取更强硬的手段,以确保对网络事件发展态势的感知,从而确保关键基础设施安全。

(二)建立预警试点程序,应对勒索软件攻击

除了对于网络事件的信息上报,该法案还着重强调了对勒索软件攻击的响应,以应对近年来频发的勒索软件攻击。法案要求相关实体在遭受勒索软件攻击或进行赎金支付后,在24小时之内向国土安全部上报,并要求国土安全部对该类信息进行及时的审查和信息共享。在本法案生效一年之内,要求CISA建立勒索软件漏洞预警试点程序,并协商成立专门的联合勒索软件防护工作组,以及时识别攻击、快速响应,减轻勒索软件攻击造成的威胁和损失。

(三)明确报告交付时间,监督法案实施成效

针对网络事件报告的各个环节,法案均明确了其时间节点。对于关键基础设施实体,主要侧重其对网络事件的主动上报:对于联邦政府机构,主要侧重其对报告的审查和信息共享,以及对尚不明确的规则和程序进行制定,并加强组织机构间的协商交流。针对法案实施的情况、报告程序的制定、新设立的工作组及新建立的勒索软件漏洞预警试点程序的有效性,法案规定CISA在法案实施1年之后进行政策执行有效性的考察并向国会进行相关情况的报告。针对法案中网络事件报告的相关行动明确时间节点,能够有效监督检验法案的实施成效。

四、总结与建议

环顾全球,网络空间安全形势愈发复杂化,当前俄乌冲突事件的爆发,更使得关键基础设施安全保护成为网络空间安全的重中之重。美国通过《2022年关键基础设施网络事件报告法案》,强制关键基础设施实体对网络事件及时报告,进一步强化了“公私协作”的关键信息基础设施安全保护的核心策略。针对关键基础设施实体,法案强制要求其对涵盖网络事件进行主动报告,并配合政府部门补充相关信息,明确了报告网络事件的基本流程及要求:针对美国联邦政府,法案明确了国土安全部、网络安全和基础设施安全局、国家网络安全和通信集成中心的责任,要求对应部门及时审查和共享网络事件及赎金支付信息,并建立组织机构,完善报告程序,以保证联邦政府对关键基础设施网络事件态势的感知。此外,该法案还突出强调了对勒索软件攻击的应对,要求建立勒索软件漏洞预警试点程序并协商成立勒索软件防护工作组。

近年来,我国《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等相关政策法规频频发布,构建起了我国网络空间安全保障和关键信息基础设施安全保护政策法规体系。在信息共享、漏洞管理、统筹协调和指导监督等方面不断完善,但对于我国关键信息基础设施安全保护能力要求和具体落地措施缺乏标准指南等可落地文件支撑。

通过分析美国《2022年关键基础设施网络事件报告法案》思考我国关键信息基础设施安全保护工作,建议如下:一是强化信息共享机制,通过出台相关落地执行的制度政策,加强政府和关键信息基础设施运营者之间,以及政府各部门之间有关网络事件的态势信息交流和协调响应;二是重視勒索软件攻击,通过开展专项研究,提升对勒索软件漏洞与攻击事件的及时识别和预警,减轻关键信息基础设施所面临的威胁:三是加强政策法规执行的监督检查,通过明确时间节点的监督检查机制,确保关键信息基础设施监督管理部门、安全保护部门和运营者对相关政策法规的落地执行,真正做实关键信息基础设施安全保护、保障和保卫工作,维护国家网络空间安全。

猜你喜欢
赎金勒索关键
情绪勒索:警惕以爱之名的伤害
遭遇勒索
勒索
谁取走了赎金
失踪的赎金
清淡健康的饮食是预防橘皮纹的关键!
欧洲成“基地”主要赞助商
鹏鹏猪
“天狼星”号获释,海盗得赎金后翻船
画与话