最后更新于2023年11月30日星期四19:04:02 GMT
美国国会准备通过 《2022年关键基础设施法案网络事件报告. 一旦总统签署,它将成为法律. 该法律将要求关键基础设施所有者和运营商报告网络事件和勒索软件支付. 这项立法是在事件之后制定的 SolarWinds 最近,俄罗斯和乌克兰的冲突又增加了这种势头. 这篇文章将介绍法律的要点.
Rapid7支持提高透明度和信息共享的努力,以加强对网络安全威胁形势的认识,并为网络攻击做好准备. 我们赞赏《pg电子》的通过.
这条法律是关于什么的?
的 关键基础设施网络事件报告法案将要求 关键基础设施所有者和运营商 -例如水和能源公用事业公司、医疗保健组织、一些IT提供商等. -向网络安全和基础设施安全局(CISA)提交有关网络安全事件和勒索软件付款的报告. 该法律将为提交报告提供责任保护,以鼓励遵守, 但不遵守规定可能会导致民事诉讼. 该法律还将要求政府进行分析, 匿名化, 并分享报告中的信息,提供给各机构, 国会, 公司, 公众对网络威胁有了更好的了解.
关于时间表的重要说明:在中钢协发布澄清规定之前,这些要求不会生效. 法律将要求中钢协发布这一规定 42个月内 (尽管CISA可能需要更少的时间),所以要求可能不会迫在眉睫. 与此同时, 《pg电子》提供了CISA未来规则必须解决的问题.
我们从下面的法律中详细说明这些条款.
要求报告网络事件和支付赎金
- 报告要求. 关键基础设施所有者和运营商必须向CISA报告重大网络安全事件, 还有所有的赎金. (然而, 如下所述, 这一要求在中钢协发布规定后才会生效.)
- 事故类型. 必须报告的网络事件类型应包括实际泄露敏感信息和破坏业务或运营的攻击. 单纯的威胁或失败的攻击不需要报告.
- 报告时间. 对于网络事件,必须提交报告 72小时内 在受影响的组织确定事件足够严重,必须报告之后. 要支付赎金,必须提交报告 24小时内 在付款之后.
- 报告内容. 报告必须包括一系列信息,包括攻击者的战术和技术. 在事件完全解决之前,必须保留与事件有关的信息.
- 执行. 如果一个实体不遵守报告要求, CISA可以发出传票,迫使实体提供所需的信息. 司法部可以提起民事诉讼来强制执行传票. 不遵守传票的实体可能被认定为藐视法庭罪.
CISA规则详细填写
- 规则要求. 中钢协需要发布一项规定,详细说明报告要求. 在本条例最终确定之前,报告要求不生效.
- 规则的时间表. 中国钢铁工业协会已 最长42个月 最终确定规则(但机构可以选择花更少的时间).
- 规则内容. 该规则将确定必须报告的网络事件类型, 必须报告的关键基础设施实体的类型, 要包含在报告中的内容, 提交报告的机制, 以及保存报告相关数据的细节.
提交报告的保护
- 不用于监管. 提交给CISA的报告不能用于规范提交报告的实体的活动.
- 权限保存. 受保实体可以将报告指定为商业和专有信息. 提交报告不应被视为放弃任何特权或法律保护.
- 无提交责任. 任何法院不得维持对任何人或实体的诉因 的唯一基础 依照本法规定提交报告.
- 不能作为证据. 报告, 以及准备报告所用的材料, 不得在任何联邦或州法院或监管机构作为证据或在发现程序中使用.
政府将如何处理这些报告信息
- 授权的目的. 联邦政府可将报告中的信息用于网络安全目的, 应对安全或严重的经济威胁, 防止儿童被剥削.
- 快速反应. 关于持续威胁的报道, CISA必须迅速向利益相关者传播网络威胁指标和防御措施.
- 信息共享. CISA必须分析报告并与其他联邦机构共享信息, 国会, 私营机构持份者, 公众. CISA的信息共享必须包括对安全控制有效性的评估, 对手战术和技术, 以及国家网络威胁形势.
Rapid7对法律的看法是什么?
Rapid7认为《pg电子》是积极的一步. 网络安全对于确保关键基础设施的安全至关重要, 这项法律将使联邦机构更深入地了解攻击趋势, 并且可能有助于在主要漏洞或正在进行的攻击扩散之前提供早期预警. 该法律小心翼翼地避免在事件响应过程中过早要求报告,并提供保护措施,鼓励公司在报告中公开透明.
仍然, 《pg电子》在确保关键基础设施具备防范网络事件发生的保障措施方面收效甚微. 这项法律不太可能改变许多关键基础设施实体资源不足的事实, 在某些情况下, 安全成熟度与他们所面临的风险不相称. 法律的执行机制(潜在的藐视法庭处罚)并不是特别强大, 最终报告规则可能在未来3年内不会实施.5年. 最终, 该法律的效力可能类似于各州的违约通知法, 这提高了人们的意识,但在各州实施数据安全法之前,并没有促使人们广泛采用对个人信息的安全保护措施.
So, 《pg电子》是一项必要且有益的改进——但是, 一如既往地, 还有更多工作要做.