美國通過“改變游戲規則”的網絡事件強制報告立法
拜登總統于本周簽署“改變游戲規則”的立法,要求關鍵基礎設施實體和聯邦機構必須在72 小時內向網絡安全和基礎設施安全局(CISA)報告重大網絡事件,并在 24 小時內向 CISA 報告勒索軟件攻擊。
美國眾議院通過了 2022 年關鍵基礎設施網絡事件報告法案的關鍵條款,該法案要求關鍵基礎設施運營部門在遭到黑客攻擊或向威脅行為者支付贖金時向政府發出警報。這是眾議院周三通過的 1.5 萬億美元綜合支出法案的一部分,該法案為聯邦政府提供了今年剩余時間的資金。該法案中包含的事件報告條款是更廣泛的加強美國網絡安全法案的一部分,去年未能成為法律,但于 3 月1 日在參議院一致通過。拜登總統于本周簽署。
該立法是在勒索軟件攻擊和其他關鍵基礎設施組織面臨的網絡威脅激增的情況下起草的,而當前的俄羅斯-烏克蘭沖突加劇了這一威脅。
除了阻止組織進行勒索軟件付款外,這些措施還旨在為網絡攻擊和威脅參與者計劃提供更多情報。反過來,這將有助于司法部(DoJ) 和 FBI 等聯邦機構之間的信息共享,幫助確保有一種標準化的方法來處理關鍵基礎設施網絡攻擊。
新的報告要求將適用于屬于 CISA 定義的 16 個美國關鍵基礎設施部門的組織。這些公司必須報告“重大”網絡事件,例如對操作系統或流程的安全性和彈性造成危險或擾亂商業或工業運營的事件。
72 小時報告事件,24 小時報告贖金支付
法案中包含的事件報告要求要求關鍵基礎設施實體和聯邦機構在涵蓋實體合理認為涵蓋的網絡事件發生后 72 小時內向 DHS 的網絡安全和基礎設施安全局 (CISA) 報告重大網絡事件和勒索軟件付款。如果他們進行勒索軟件付款,則在 24 小時內發生。值得注意的是,綜合法案中的勒索軟件支付報告要求“即使勒索軟件攻擊不是符合報告要求的涵蓋網絡事件,也應適用。”未報告事件或勒索軟件付款的關鍵基礎設施組織和聯邦機構將收到 CISA 主任的傳票,CISA 主任將能夠將此事提交給司法部長,以便在美國地方法院提起民事訴訟 執行傳票。法院可以懲罰不遵守作為藐視法庭發出的傳票的行為。
CISA 還可以以匿名方式提供事件報告,并采取防御措施將其傳播給適當的利益相關者,包括部門協調委員會、信息共享和分析組織、州、地方、部落和地區政府、技術提供商、網絡安全和網絡事件響應公司和安全研究人員,視情況而定。
勒索軟件試點計劃
CISA 還需要建立一個勒索軟件漏洞警告試點計劃,“以利用現有的權威和技術來開發流程和程序,并投入資源來識別包含與常見勒索軟件攻擊相關的安全漏洞的信息系統,并通知 那些易受攻擊系統的安全漏洞的所有者。” 該試點計劃將識別勒索軟件攻擊和緩解技術中最常見的安全漏洞,并使用現有權限來識別包含安全漏洞的信息系統。該試點計劃定于頒布之日起四年后終止。
協調打擊勒索軟件攻擊活動的工作組
在頒布后的 180 天內,該法案還要求 CISA 局長與國家網絡局長、司法部長和聯邦調查局 (FBI) 局長協商,建立并主持一個聯合勒索軟件工作組,包括聯邦機構參與者,以協調正在進行的針對勒索軟件攻擊的全國性運動,并確定和尋求國際合作的機會。
該工作組將優先考慮情報驅動的行動,以破壞特定的勒索軟件參與者,與私人、地方政府和國際利益相關者協商以確定需求,并建立向聯合勒索軟件工作組提供意見的機制。
CISA主導,但 FBI 被排除在外
毫不奇怪,CISA 主任 Jen Easterly 稱贊報告任務是保護國家免受網絡威脅的過期手段。 Easterly 和 CISA 長期以來一直抱怨缺乏事件報告要求使聯邦政府對網絡威脅和事件一無所知。
然而,副總檢察長麗莎摩納哥最近表示,該立法將使該國“不那么安全”,聯邦調查局局長克里斯托弗雷表示,它存在“嚴重缺陷”,因為它將聯邦調查局從事件報告鏈中剔除,使該局失去能力 打擊網絡犯罪團伙。
在本月早些時候的眾議院情報委員會聽證會上,Wray 說:“我們在現場有特工,他們通常在一個小時左右的時間內對一家受到打擊且每年發生數千次的企業做出回應,所以我們需要以確保信息流受到保護。” 拜登政府站在 CISA 一邊,白宮國家網絡主管 Chris Inglis 支持該法案,但沒有做出任何反映 FBI 擔憂的改變。1.5 萬億美元的支出計劃為 CISA 撥款 25.9 億美元,比拜登政府在其預算提案中要求的多 3 億美元。
官員們的普遍反應積極
其他政府官員對眾議院通過該法案的反應是積極的。眾議院國土安全委員會的兩黨領導人在一份新聞稿中表示:“要求所有者和運營商向 CISA 報告重大網絡事件和勒索軟件攻擊將意味著聯邦政府的可見性更高,惡意網絡活動的更早中斷,以及更好的信息和威脅 情報返回到私營部門,因此他們可以防御未來的攻擊。該法案中提供的權限和資源不能很快到來,因為 CISA 致力于在不斷變化的地緣政治環境中應對迅速演變的網絡威脅。” 美國參議員馬克·華納(Mark Warner)和蒂姆·凱恩(Tim Kaine)(均為 D-VA)贊揚了綜合法案的通過,并指出華納是 2022 年加強美國網絡安全法案的發起人之一,該法案包含了事件報告措施。22 年 3 月 11 日參議院批準了綜合法案,拜登總統已經簽署。
CISA 主任 Jen Easterly 在評論新法律時說:“作為國家的網絡防御機構,CISA 對網絡事件報告立法的通過表示贊賞。由于我們在國會的許多合作伙伴的支持,CISA 將擁有我們需要的數據和可見性,以幫助更好地保護全國的關鍵基礎設施和企業免受網絡攻擊的破壞性影響。
“CISA 將利用我們私營部門合作伙伴的這些報告,就我們的對手如何針對美國網絡和關鍵基礎設施建立共識。這些信息將填補關鍵信息空白,使我們能夠快速部署資源并向遭受攻擊的受害者提供援助,分析跨部門傳入的報告以發現趨勢,并快速與網絡防御者共享該信息以警告其他潛在受害者。CISA 致力于與我們的行業和聯邦政府合作伙伴以透明的方式合作,以提高我們國家網絡和關鍵基礎設施的安全性和彈性。
“坦率地說,這項立法改變了游戲規則。今天標志著我們國家的集體網絡安全向前邁出了關鍵一步。”
該法案是拜登政府發布的最新聯邦網絡安全倡議,于 2021 年初上任。其他包括旨在提高供應鏈安全、事件檢測和響應以及對威脅的整體彈性的行政命令,以及創建勒索軟件任務 由司法部強制執行。
文章來源:天極智庫
