今年以來，英國關基設施遭受嚴重網絡攻擊事件暴增

圖：倫敦的夜空/NASA

盡管今年上半年上報事件數量只有13起，但已經遠超往年數量了。

9月13日消息，英國《信息自由法》披露的數據顯示，2023年上半年，英國運營關鍵信息技術基礎設施服務的組織，向政府報告網絡攻擊嚴重干擾其運營的事件數量，已經超過了以往任何一年的報告總數。

盡管攻擊總數似乎較低，只有13起影響到運營關鍵技術服務的組織（如國家互聯網節點或回程運營商）的攻擊，但這個數字較2022年和2021年分別記錄的4次有顯著增加。

NIS指令規定了事件報告要求

從發電廠到運輸和醫療領域以及信息技術基礎設施公司，英國各地的重要服務提供商都根據英國《網絡和信息系統指令》（NIS指令）要求，向各行業主管機構報告干擾性網絡事件。相關規定還為這些重要服務提供商的計算機網絡設立了最低安全標準。

只有網絡攻擊造成的干擾滿足某些門檻才會被報告。以配電網絡的網絡和信息系統事件為例，報告門檻是導致至少50000個客戶發生計劃外供電中斷，且持續時間超過三分鐘。以影響國家重要DNS解析器的事件為例，報告門檻是導致服務帶寬在15分鐘或更長時間內縮減超過25%。

據了解，兩個特定行業管理機構在今年上半年收到的報告比以往任何一年都要多。它們分別是從數字基礎設施提供商那里接收報告的英國通信管理局（Ofcom），和監管云計算服務等數字服務提供商的英國信息專員辦公室（ICO）。

經聯系，其他管理機構沒有提供自從2018年《網絡和信息系統指令》生效以來的年度報告細分數據。因此，尚不清楚2023年上半年創記錄數量的網絡攻擊事件是否涉及通信、數字服務領域之外的行業。

有私營部門專家表示，報告數量增加的原因更可能是服務提供商更清晰地意識到了他們的報告職責，加大了對檢測能力的投資，而不是復雜威脅行為者發起了更多敵對活動。

一位政府發言人表示：“隨著監管機構和受監管機構對報告要求有更清晰的理解，我們預計報告事件將繼續增加。沒有證據表明目前的增加與敵對活動增多有任何關聯，任何這樣的看法都毫無依據。”

但數據還顯示，大量受監管組織提交的報告最終沒有記錄為NIS事件報告，這是因為指令對于網絡攻擊是否需要報告設置的門檻尚待優化。

這些門檻主要基于網絡安全事件對基本服務提供的影響程度。比如，網絡攻擊是否干擾了發電廠的能源生產，是否阻止了鐵路公司開行一定數量的列車。

然而，這些門檻沒有衡量攻擊者對計算機網絡的訪問深度，也沒有衡量威脅行為者是否有能力干擾任何基本服務。所以，政府管理機構無法清晰地看出他們負責的行業面臨的網絡攻擊風險有多大。

2020年，NIS指令修訂后，ICO開始接收數字服務提供商的報告。該部門表示，截至目前已收到了10份有關服務干擾的報告（2020年1份，2021年2份，2022年2份，2023年5份），以及9份未達到門檻的報告（2020年1份，2021年1份，2022年1份，2023年1份）。

Ofcom在2022年記錄了一起NIS事件，但該機構累積接收了7份未達到門檻的報告（2020年3份，2021年1份，2023年3份）。

衛生與社會保健部表示，自2018年以來，已收到2份網絡和信息系統事件的報告，而交通部則透露，自法規生效以來，已收到關于25起事件的報告。但這兩個部門沒有說明這些報告的具體提交年份。

交通部表示，沒有收到任何未達到門檻的報告。這與2021年天空新聞所報道的內容相矛盾，當時該部門表示已收到9份未達到門檻的報告。外媒The Record詢問為何二者不一致，該部門未能提供解釋。

能源安全與零排放部表示，自2018年法規生效以來，未收到網絡和信息系統事件的報告，但已收到3份未達到報告門檻的報告。

政府發言人表示：“我們致力于保護英國關鍵服務免受網絡威脅，強化事件報告是《網絡和信息系統法規》的關鍵要素。去年，作為對公眾咨詢的回應，我們規劃了擴大報告事件范圍的詳細計劃，不再局限于影響基本或數字服務交付的事件。”

去年11月，英國政府發表題為“更新網絡法律以增強英國對在線攻擊的抵御力”的新聞稿，承諾將在“議會時間允許的情況下”更新法規。然而，政府尚未宣布任何新的法律。政府預計，2024年11月7日大選之前，標志議會開幕的國王演講中將概述最終的立法議程。