近年来,Solarwinds供应链攻击、Colonial Pipeline勒索攻击等一系列网络安全事件频发,持续校验各国包括关键基础设施保护在内的网络安全保障体系的实施效能。如何进一步加强对国家安全有重要影响的关键信息基础设施领域的风险发现和防御能力,如何确保监管部门及时掌握安全态势,充分调动国家力量共同消解网络安全风险成为各国关注点。近期,澳大利亚、美国、印度相继通过立法或指令,从建立强制性的网络安全事件报告义务入手,明确运营者事件报告期限要求,提升国家的网络安全态势感知能力。
近期立法动态
一、美国《2022年关键基础设施事件报告法》
2022年3月15日,美国总统拜登签署的《2022年综合拨款法》(Consolidated Appropriations Act, 2022)中,正式通过《2022年关键基础设施网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act of 2022),要求关键基础设施领域实体在有理由相信网络事件发生后72小时内,以及因勒索攻击支付赎金后24小时内,向网络安全和基础设施安全局(CISA)报告。
1. 谁需要报告?
事件报告义务适用于总统政策指令21(PDD-21)中定义的关键基础设施部门的实体。PDD-21确定了16个关键基础设施行业,包括:化工、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、交通系统、供水和废水系统。在CISA制定的最终规则中将进一步明确所包含的实体类型。
实体可以通过第三方,如事件响应公司、保险商或服务提供商来提交事件报告,但这并不免除实体本身的报告义务。
2. 什么情况下需要报告?
该法规定三种报告情形:
(1)实体应在有合理理由相信网络事件已经发生后的72小时内报告;
(2)实体应在遭受勒索攻击而支付赎金后24小时内报告。即使该勒索攻击不属于本法管辖的网络事件也应履行报告义务;
(3)若有实质性新的或不同的信息,或者实体依本法报告网络事件后支付了勒索赎金,应及时向CISA提交更新或补充报告,直到该实体通知CISA事件已结束并得到完全缓解和恢复。
该法对“网络事件”的定义援用2002年《国土安全法》的现有定义,即“在没有合法授权的情况下,实际或即将危及网络信息完整性、机密性或可用性的事件”。只有构成“重大网络事件”才需要进行报告,在CISA制定的最终规则中将进一步明确“重大网络事件”类型。
3. 向谁报告?
向CISA报告。
收到实体的报告后,CISA将立即审查该报告,以确定该网络事件是否与持续的网络威胁或安全漏洞有关。如有关,将使用该信息来识别风险,并迅速向利益相关者传播网络威胁指标和可行的防御措施。
4. 需报告哪些信息?
报告网络事件,需提交下列信息:
(1)对事件的描述。包括识别和描述受影响的信息系统、网络和设备的功能;对未经授权的访问进行描述,是否对受影响信息系统或网络的机密性、完整性或可用性造成重大损失,或对商业或工业运营造成中断;该事件预计的发生日期;以及对实体的影响;
(2)描述被利用的漏洞和已采取的安全防御措施,以及网络事件所采取的战术、技术和程序(如有);
(3)有合理理由相信应对该事件负责的每个行为者的识别信息或联系信息(如有);
(4)曾经或有合理理由相信已经被访问或获取的一类或多类信息(如有);
(5)受影响实体的名称和其他信息;
(6)联系方式,以及实体的服务供应商(如有)。
报告勒索攻击,需提交下列信息:
(1)对勒索攻击的描述,包括预估的攻击发生时间;
(2)描述用于实施勒索攻击的漏洞、战术、技术和程序(如有);
(3)有合理理由相信应对该事件负责的每个行为者的识别信息或联系信息(如有);
(4)清楚描述支付赎金或代为支付赎金的实体名称和其他信息;
(5)联系方式,以及实体的服务供应商(如有);
(6)支付赎金的日期;
(7)赎金支付要求,包括所要求的虚拟货币或其他类型(如有);
(8)赎金支付指示,包括有关支付地点的信息,如要求将赎金发送到的虚拟货币地址或物理地址(如有);
(9)赎金金额。
5. 未遵守报告要求的后续措施
(1)如果CISA有理由相信,无论是通过公开报告还是联邦政府掌握的其他信息,实体发生了本法所管辖的网络安全事件或支付了勒索赎金,但未按照本法要求进行报告的,CISA主管可要求实体提供额外信息;
(2)在CISA主任要求提供额外信息之日起72小时内,若没有收到回应或回应不充分,CISA主任可以向该实体发出传票,强制要求实体披露相关信息,并评估此网络事件对国家安全、经济安全、公共健康等的潜在影响;
(3)若实体不遵守传票要求,CISA主任可将该情况提交司法部长,在美国地方法院提起民事诉讼,以执行传票;
(4)法院可将实体不遵守传票的行为裁定为藐视法庭罪,予以处罚。
此外,如果CISA根据传票所提供的信息认定网络事件或赎金支付有关的事实可能构成监管执法行动或刑事检控的理由,CISA可向司法部长或相关联邦监管机构负责人提供此类信息,后者可将此类信息用于监管执法行动或刑事起诉。
6. 其他规定
实体还必须根据CISA发布的规则,留存与该法所规定的网络事件和赎金支付有关的信息。
CISA有24个月的时间来发布拟议的规则制定通知,之后有18个月的时间来发布最终规则。该法要求的事件报告义务根据最终规则中规定的时间生效。
二、澳大利亚《2021年安全立法修正案(关键基础设施)法》
2021年12月2日,澳大利亚《2021年安全立法修正案(关键基础设施)法》(Security Legislation Amendment(Critical Infrastructure) Act 2021,简称SLACI法)正式通过。修正案对《2018年关键基础设施安全法》(SOCI法)进行修订,提出强制性的网络安全事件报告义务。
1. 谁需要报告?
关键基础设施资产的负责实体。
关键基础设施资产包括:关键广播资产、关键域名系统、关键数据存储或处理资产、关键银行资产、关键养老金资产、关键保险资产、 关键金融市场基础设施资产、关键食品和杂货资产、关键医院、关键教育资产、关键货运基础设施资产、关键货运服务资产、关键公共交通资产、关键液体燃料资产、关键能源市场运营商资产、关键港口、关键电力资产、关键天然气资产、关键水资产、关键航空资产。
2. 什么情况下需要报告?
该法规定了两种报告情况:
(1)实体意识到网络安全事件已经或正在发生,并已经或正在对关键基础设施资产可用性产生“重大影响”(包括直接和间接影响)的,应在12个小时内报告该事件及相关信息。
关键基础设施资产用于提供基本商品或服务,并且事件严重扰乱基本商品和服务的供应时,构成“重大影响”。可以以口头或者书面形式报告。如果是口头报告,则在第一次报告后84小时内提交进一步的书面报告。
(2)实体意识到网络安全事件已经或正在发生,并已经、正在或可能对关键基础设施资产产生“相关影响”的,应在72个小时内报告该事件及相关信息。
对资产可用性、完整性、可靠性或机密性造成的影响属于“相关影响”。可以以口头或者书面形式报告。如果是口头报告,则在第一次报告后48小时内提交进一步的书面报告。
“网络安全事件”指的是涉及以下一项或多项内容:(1)未经授权访问或修改计算机数据或计算机程序;(2)未经授权损坏电子通讯;或(3)未经授权损害计算机数据、计算机程序或计算机的可用性、可靠性、安全性或运行。
3. 向谁报告?
向澳大利亚网络安全中心(ACSC)报告。
4. 需报告哪些信息?
需要提交下列信息:(1)联络点信息;(2)机构信息(包括澳大利亚商业号码);(3)关键基础设施领域;(4)事件确定的日期和时间,以及事件是否正在进行;(5)确认该事件是否对资产产生重大影响;(6)细节信息,如事件是如何被发现的、事件性质(如是否是勒索攻击或DOS攻击)、事件是否对信息技术、运营技术或消费者数据造成影响、以及事件是否在其他地方被报道过等。
提交信息后,实体将收到一份来自ACSC的报告收据,将包括一个唯一的报告编号。根据事件的性质,ACSC可能会与实体联系,以提供协助或获取事件其他信息,以供事件响应和网络威胁信息之用。 在事件发生后,内政部也可能会与实体联系,索取有关事件的额外资料,以作规管之用。
5. 法律责任
违规可能导致最高50个罚款单位(目前为11,100 澳元)罚款。
6. 其他规定
立法还为澳大利亚政府规定了额外的权力,澳大利亚政府认为这些权力对于维护澳大利亚关键基础设施安全至关重要。从2021年12 月起,政府可以行使以下权力来应对影响关键基础设施资产的网络安全事件:
(1)信息收集——要求实体提供与网络安全事件相关的信息;
(2)行动指示——如果实体不愿意或无法解决网络安全事件,内政部长可以指示实体采取或不采取任何被认为合理必要、相称且技术上可行的行动,以应对网络安全事件;
(3)干预请求——为澳大利亚信号局提供“最后手段”的权力,可以在实体不愿或无法解决网络安全事件的情况下控制资产(take control of an asset)。
三、印度计算机应急响应小组指令
2022年4月28日,印度的计算机应急响应小组(CERT-In)发布《关于<2000年信息技术法>第70B条第(6)款,可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令》(Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet),要求组织在6小时内向CERT-In报告网络安全事件。该指令中的措施和规定将纳入《2000年信息技术法》第70B条,因此构成印度立法的一部分,将在60天内生效。
1. 谁需要报告?
服务提供商、中介机构、数据中心、法人团体和政府机构。
2. 什么情况下需要报告?
服务提供商、中介机构、数据中心、法人团体和政府机构应当在发现或被告知发生网络安全事件后6小时内向CERT-In报告。
指令明确20类应当报告的网络安全事件类型,包括:
(1) 关键网络/系统的定向扫描/探测;
(2) 对关键系统/信息造成威胁;
(3) 未经授权访问IT系统/数据;
(4) 网站篡改、入侵网站并进行未经授权的更改,如嵌入恶意代码、链接到外部网站等;
(5) 恶意代码攻击,例如传播病毒/蠕虫/木马/机器人/间谍软件/勒索软件/加密矿工;
(6) 攻击数据库、邮件和DNS等服务器以及路由器等网络设备;
(7) 身份盗用、欺骗和网络钓鱼攻击;
(8) 拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击;
(9) 攻击关键基础设施、SCADA和运营技术系统以及无线网络;
(10) 攻击电子政务、电子商务等应用程序;
(11) 数据入侵(Data Breach);
(12) 数据泄露(Data Leak);
(13) 攻击物联网设备和相关系统、网络、软件、服务器;
(14) 影响数字支付系统的攻击或事件;
(15) 通过恶意移动应用程序(APP)进行的攻击;
(16) 虚假手机应用程序;
(17) 未经授权访问社交媒体帐户;
(18) 影响云计算系统/服务器/软件/应用程序的攻击或恶意/可疑活动;
(19) 影响与大数据、区块链、虚拟资产、虚拟资产交易所、托管钱包、机器人、3D和4D打印、增材制造和无人机相关的系统/服务器/网络/软件/应用程序的攻击或恶意/可疑活动;
(20) 影响与人工智能和机器学习相关的系统/服务器/网络/软件/应用程序的攻击或恶意/可疑活动。
3. 向谁报告?
向CERT-In报告。
根据《2000年信息技术法》,CERT-In承担着以下职能:(1)收集、分析和传播网络事件相关信息;(2)预测和预警网络安全事件;(3)采取网络安全事件应急响应措施;(4)协调网络事件响应活动;(5)发布信息安全实践、程序、预防、相应和网络事件报告相关的指南、建议、漏洞说明和白皮书等。
4. 其他规定
当接到CERT-In的命令或指示,以进行网络事件响应或预防行动时,实体必须采取行动,或者向CERT-In提供信息或其他援助。命令或指示可能包括所需信息的格式(可能包括实时信息),并指定提交信息的时间,实体应按照这些要求将信息提供给CERT-In,否则将被视为不遵守该指令。上述实体应指定一个联络点,与CERT-In对接。
实体应连接到国家信息中心(NIC)或国家物理实验室(NPL)的网络时间协议(NTP)服务器,或与可连接到NTP服务器的其他服务器相连,以同步其所有ICT系统时钟。拥有跨越多个地区ICT基础设施的实体也可以使用除NPL和NIC以外的准确和标准的时间源,但要确保其时间源不会偏离NPL和NIC。
实体的所有ICT系统日志必须在印度管辖范围内安全保留180天,并应与安全事件报告一起或在机构要求时提供给CERT-In。
指令还对部分特殊主体的数据留存义务提出要求。包括(1)数据中心、虚拟专用服务器(VPS)提供商、云服务提供商、虚拟专用网络(VPN)提供商,应登记下列准确信息,这些信息必须在用户注销或撤销登记(视情况而定)后继续保存5年或更长时间(法律规定的期限):订阅户/客户的有效名称、租用服务的期限、分配给用户的IPs、注册或登录的邮箱地址/IP地址/使用服务的时间戳、租用服务的目的、经验证的地址和联系电话、订阅户/客户租用服务的所有权模式;(2)虚拟资产服务提供商、虚拟资产交易提供商和托管钱包提供商应维护“了解你的客户”中获取的所有信息和金融交易记录。其中,交易记录应以准确的方式保存包括但不限于相关方识别信息、IP地址、时间戳、时区、交易ID、公钥(或等效标识符)、涉及的地址或账户(或等效标识符)、交易性质、交易日期、交易金额。
简评
美国、澳大利亚、印度近期的相关立法动向呈现出一定特点:(1)给出明确的事件报告时间要求,要求在规定期限内尽可能快地向指定部门报告。具体来说,印度对于时间要求最为紧迫,要求在6小时内报告,美国要求发生网络安全事件后72小时或因勒索攻击支付赎金后24小时内,澳大利亚要求对关键基础设施资产产生“重大影响”的应在12小时内,产生“其他影响”的在72小时内报告;(2)通过法律责任或后续行动,赋予事件报告要求一定的强制性。美国关键基础设施运营者未按照要求报告事件的,CISA主任可以对实体发出传票、提起民事诉讼,运营者甚至可能构成藐视法庭罪。澳大利亚主要通过罚款进行处罚;(3)赋予指定部门一定的事件处置干预能力。澳大利亚规定,如果实体不愿或无法解决网络安全事件,澳大利亚信号局可以采取“最后手段”,控制关键基础设施资产。
在我国现有立法中,《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《计算机信息系统安全保护条例》等法律法规中也规定了报告义务及相应的法律责任。其中,《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》要求“按照规定”报告网络/数据安全事件,并未直接给出细化要求。《计算机信息系统安全保护条例》要求“对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告”。此外,在部分行业规定中,如证监会发布的《证券期货业网络安全事件报告与调查处理办法》,要求“核心机构和经营机构网络和信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至系统恢复正常运行...”在我国网络安全形势依旧严峻,仍然是网络攻击主要受害国之一的背景下,近期国外相关立法动向可为我国研究修订《网络安全法》、进一步明确“有关规定”、细化事件报告制度、量化制度要求提供参考。(梁思雨)
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
