最后更新于2023年6月20日星期二20:15:58 GMT
In March 2022, President Biden signed into law 关键基础设施网络事件报告法案(CIRCIA), 这是一项两党倡议,授权CISA要求关键基础设施所有者和运营商报告网络事件. Rapid7总体上支持CIRCIA和网络事件报告, 但我们也鼓励监管机构确保报告规则得到精简,不要给正在积极从网络入侵中恢复过来的公司带来不必要的负担.
尽管这是一项具有里程碑意义的立法改革,但CIRCIA只是更大趋势中一个非常明显的例子. 事件报告已成为整个政府的主要网络安全监管策略. 许多联邦和州机构都在各自的规则制定机构下实施自己的网络事件报告要求,例如 SEC, FTC, the Federal Reserve, OCC, NCUA, NERC, TSA, NYDFS, and others. 美国法律中已经有几条这样的规定, 至少还有三个可能在明年生效.
The trend is not limited to the US. 一些国际管理机构也提出了类似的网络事件报告规则, such as the European Union’s (EU) NIS-2 Directive.
通过事件报告提高安全透明度是朝着积极方向迈出的富有成效的一步. 事件报告要求可以帮助政府管理部门风险, 鼓励私营部门提高网络卫生水平, 增强入侵补救和预防能力. 但是,对这种新法律范式的迅速接受可能已经创造了太多的好东西, 新兴的监管环境有变得难以管理的风险.
Current state
执行重叠或矛盾要求的网络事件报告规则可能会给积极响应网络攻击的组织带来不必要的合规负担. To illustrate the problem, 假设有一家公司,我们叫它Energy1. Energy1 is a US-based, 拥有并经营能源发电厂的上市公用事业公司, electrical transmission systems, and natural gas distribution lines. 如果Energy1遭受重大网络攻击, 它可能被要求提交以下报告:
- Within one hour, provide to NERC – under NERC CIP rules -载有事故初步详情及其对营运的功能影响的报告.
- Within 24 hours, provide to TSA – under the pipeline security directive -一份完整描述事件的报告, 它对业务运营的功能影响, 以及补救步骤的细节.
- Within 72 hours, provide to CISA – under CIRCIA -对事件的完整描述, details of remediation steps, 以及可能识别罪犯的威胁情报信息.
- Within 96 hours, provide to SEC – under the SEC’s proposed rule -对事件及其影响的完整描述, 包括客户数据是否被泄露.
In our hypothetical scenario, Energy1可能需要快速编译必要的信息,以遵守每个不同的报告规则或法规, 与此同时,还需要平衡从网络入侵中修复和恢复的迫切需要. Furthermore, 如果Energy1也在非美国市场运营的话, 它可能受制于几个更多的报告要求, 例如欧盟的NIS-2指令草案或欧盟的 CERT-IN rule in India. 其中许多法规还要求在初始报告之后进行后续状态更新.
上面的示例展示了事件报告需求拼凑的复杂性. 在这种新环境下,遵守法律给私营部门和政府带来了许多挑战. For example:
- Redundant requirements: 在网络事件之后强加的不必要的重复遵从性要求可能会从事件补救中抽走关键资源, 可能导致报告中提交的数据质量较低.
- Public vs. private disclosure: 大多数报告由监管机构私下持有, 但美国证券交易委员会提出的规则将要求公司在确定事件重大后的96小时内提交公开报告. 在事件得到控制或缓解之前公开披露可能会使受影响的公司进一步面临网络攻击的风险. In addition, 在缓解之前过早地公开报告事件可能无法准确反映受影响公司的网络事件响应能力.
- Inconsistent requirements: 各机构规则对报告内容的定义并不一致. For example, 美国证交会要求报告对理性投资者来说“重大”的网络事件, 而NERC要求报告几乎所有的网络事件, 包括失败的网络入侵尝试. 缺乏统一的可报告性定义给遵从性过程增加了另一层复杂性.
- Process inconsistencies: 如Energy1示例所示, 所有事件报告规则和拟议规则都有不同的截止日期. In addition, 每个规则和建议规则都有不同的报告格式和提交方法. 这些过程的不一致性给遵从性过程增加了摩擦.
Recommendations
上述关键问题可由网络事件报告委员会(CIRC)解决。, 由国土安全部(DHS)领导的跨部门工作组. 该委员会是根据中国事故监察委员会成立的,其任务是协调现有的事故报告规定,使其成为更统一的监管制度. A readout of the Council’s first meeting, convened on July 25, 中国保监会表示,打算“通过推进事故报告的共同标准,减轻行业负担”.”
In addition to DHS, 中国保监会包括来自政府各部门的代表, 包括司法部, Commerce, Treasury, and Energy among others. 从该委员会的首次会议来看,目前尚不清楚中国保监会将如何重塑网络事件报告规定, 或者这些改变是否可以通过行政行动实现,或者是否需要新的立法. 该委员会将在2022年底之前发布一份包含建议的报告.
Rapid7敦促中国保监会考虑几种协调策略,旨在简化合规性,同时保持网络事件报告的优势, such as:
- Unified process: When practically possible, 为所有提交的事件报告制定一个单一的接收点,并采用多个机构接受的通用格式. 这将有助于消除各组织以不同格式和不同时间表向不同机构提交若干份报告的需要.
- Deconflicted requirements: 就什么是可报告网络事件达成更统一的定义, 建立更加一致的报告要求,以满足多个机构规则的需要.
- Public disclosure delay: 在受影响的组织有时间控制漏洞之前公开发布事件报告可能会使公司及其客户的安全面临不必要的风险. 涉及公开披露的要求, 比如美国证券交易委员会和美国联邦贸易委员会提出的规则, 是否应考虑与受影响的公司延迟和协调披露时间.
联邦政府的一些机构已经在设计事件报告规则时考虑到了协调. The Federal Reserve, FDIC, and OCC, 而不是为每个机构制定三个单独的规则, designed a single universal incident reporting requirement for all three agencies. 该规定要求,受影响公司的“主要监管机构”只需向这三家机构中的任何一家提交一份报告.“各机构之间的报告共享是在内部处理的, 减轻公司向多个机构提交多份报告的负担. Rapid7支持这种方法,并将鼓励中国保监会在可能的情况下采取类似的简化策略.
Striking the right balance
Rapid7支持日益普及的网络事件报告. 政府和行业之间更大的网络安全透明度可以带来相当大的好处. However, 不必要的重叠或相互矛盾的报告要求可能会损害事件响应和恢复的关键工作. 我们鼓励监管机构精简和简化流程,以便充分利用事件报告的好处,同时又不会使组织在此过程中承担不必要的负担或风险.
Additional reading:
