美澳印網絡安全事件報告制度近期動向聚焦
近年來,Solarwinds供應鏈攻擊、Colonial Pipeline勒索攻擊等一系列網絡安全事件頻發,持續校驗各國包括關鍵基礎設施保護在內的網絡安全保障體系的實施效能。如何進一步加強對國家安全有重要影響的關鍵信息基礎設施領域的風險發現和防御能力,如何確保監管部門及時掌握安全態勢,充分調動國家力量共同消解網絡安全風險成為各國關注點。
近期,澳大利亞、美國、印度相繼通過立法或指令,從建立強制性的網絡安全事件報告義務入手,明確運營者事件報告期限要求,提升國家的網絡安全態勢感知能力。
近期立法動態
一、美國《2022年關鍵基礎設施事件報告法》
2022年3月15日,美國總統拜登簽署的《2022年綜合撥款法》(Consolidated Appropriations Act, 2022)中,正式通過《2022年關鍵基礎設施網絡事件報告法》(Cyber Incident Reporting for Critical Infrastructure Act of 2022),要求關鍵基礎設施領域實體在有理由相信網絡事件發生后72小時內,以及因勒索攻擊支付贖金后24小時內,向網絡安全和基礎設施安全局(CISA)報告。
1. 誰需要報告?
事件報告義務適用于總統政策指令21(PDD-21)中定義的關鍵基礎設施部門的實體。PDD-21確定了16個關鍵基礎設施行業,包括:化工、商業設施、通信、關鍵制造、水利、國防工業基地、應急服務、能源、金融服務、食品和農業、政府設施、醫療保健和公共衛生、信息技術、核反應堆、材料和廢棄物、交通系統、供水和廢水系統。在CISA制定的最終規則中將進一步明確所包含的實體類型。
實體可以通過第三方,如事件響應公司、保險商或服務提供商來提交事件報告,但這并不免除實體本身的報告義務。
2. 什么情況下需要報告?
該法規定三種報告情形:
(1)實體應在有合理理由相信網絡事件已經發生后的72小時內報告;
(2)實體應在遭受勒索攻擊而支付贖金后24小時內報告。即使該勒索攻擊不屬于本法管轄的網絡事件也應履行報告義務;
(3)若有實質性新的或不同的信息,或者實體依本法報告網絡事件后支付了勒索贖金,應及時向CISA提交更新或補充報告,直到該實體通知CISA事件已結束并得到完全緩解和恢復。
該法對“網絡事件”的定義援用2002年《國土安全法》的現有定義,即“在沒有合法授權的情況下,實際或即將危及網絡信息完整性、機密性或可用性的事件”。只有構成“重大網絡事件”才需要進行報告,在CISA制定的最終規則中將進一步明確“重大網絡事件”類型。
3. 向誰報告?
向CISA報告。
收到實體的報告后,CISA將立即審查該報告,以確定該網絡事件是否與持續的網絡威脅或安全漏洞有關。如有關,將使用該信息來識別風險,并迅速向利益相關者傳播網絡威脅指標和可行的防御措施。
4. 需報告哪些信息?
報告網絡事件,需提交下列信息:
(1)對事件的描述。包括識別和描述受影響的信息系統、網絡和設備的功能;對未經授權的訪問進行描述,是否對受影響信息系統或網絡的機密性、完整性或可用性造成重大損失,或對商業或工業運營造成中斷;該事件預計的發生日期;以及對實體的影響;
(2)描述被利用的漏洞和已采取的安全防御措施,以及網絡事件所采取的戰術、技術和程序(如有);
(3)有合理理由相信應對該事件負責的每個行為者的識別信息或聯系信息(如有);
(4)曾經或有合理理由相信已經被訪問或獲取的一類或多類信息(如有);
(5)受影響實體的名稱和其他信息;
(6)聯系方式,以及實體的服務供應商(如有)。
報告勒索攻擊,需提交下列信息:
(1)對勒索攻擊的描述,包括預估的攻擊發生時間;
(2)描述用于實施勒索攻擊的漏洞、戰術、技術和程序(如有);
(3)有合理理由相信應對該事件負責的每個行為者的識別信息或聯系信息(如有);
(4)清楚描述支付贖金或代為支付贖金的實體名稱和其他信息;
(5)聯系方式,以及實體的服務供應商(如有);
(6)支付贖金的日期;
(7)贖金支付要求,包括所要求的虛擬貨幣或其他類型(如有);
(8)贖金支付指示,包括有關支付地點的信息,如要求將贖金發送到的虛擬貨幣地址或物理地址(如有);
(9)贖金金額。
5. 未遵守報告要求的后續措施
(1)如果CISA有理由相信,無論是通過公開報告還是聯邦政府掌握的其他信息,實體發生了本法所管轄的網絡安全事件或支付了勒索贖金,但未按照本法要求進行報告的,CISA主管可要求實體提供額外信息;
(2)在CISA主任要求提供額外信息之日起72小時內,若沒有收到回應或回應不充分,CISA主任可以向該實體發出傳票,強制要求實體披露相關信息,并評估此網絡事件對國家安全、經濟安全、公共健康等的潛在影響;
(3)若實體不遵守傳票要求,CISA主任可將該情況提交司法部長,在美國地方法院提起民事訴訟,以執行傳票;
(4)法院可將實體不遵守傳票的行為裁定為藐視法庭罪,予以處罰。
此外,如果CISA根據傳票所提供的信息認定網絡事件或贖金支付有關的事實可能構成監管執法行動或刑事檢控的理由,CISA可向司法部長或相關聯邦監管機構負責人提供此類信息,后者可將此類信息用于監管執法行動或刑事起訴。
6. 其他規定
實體還必須根據CISA發布的規則,留存與該法所規定的網絡事件和贖金支付有關的信息。
CISA有24個月的時間來發布擬議的規則制定通知,之后有18個月的時間來發布最終規則。該法要求的事件報告義務根據最終規則中規定的時間生效。
二、澳大利亞《2021年安全立法修正案(關鍵基礎設施)法》
2021年12月2日,澳大利亞《2021年安全立法修正案(關鍵基礎設施)法》(Security Legislation Amendment(Critical Infrastructure) Act 2021,簡稱SLACI法)正式通過。修正案對《2018年關鍵基礎設施安全法》(SOCI法)進行修訂,提出強制性的網絡安全事件報告義務。
1. 誰需要報告?
關鍵基礎設施資產的負責實體。
關鍵基礎設施資產包括:關鍵廣播資產、關鍵域名系統、關鍵數據存儲或處理資產、關鍵銀行資產、關鍵養老金資產、關鍵保險資產、 關鍵金融市場基礎設施資產、關鍵食品和雜貨資產、關鍵醫院、關鍵教育資產、關鍵貨運基礎設施資產、關鍵貨運服務資產、關鍵公共交通資產、關鍵液體燃料資產、關鍵能源市場運營商資產、關鍵港口、關鍵電力資產、關鍵天然氣資產、關鍵水資產、關鍵航空資產。
2. 什么情況下需要報告?
該法規定了兩種報告情況:
(1)實體意識到網絡安全事件已經或正在發生,并已經或正在對關鍵基礎設施資產可用性產生“重大影響”(包括直接和間接影響)的,應在12個小時內報告該事件及相關信息。
關鍵基礎設施資產用于提供基本商品或服務,并且事件嚴重擾亂基本商品和服務的供應時,構成“重大影響”。可以以口頭或者書面形式報告。如果是口頭報告,則在第一次報告后84小時內提交進一步的書面報告。
(2)實體意識到網絡安全事件已經或正在發生,并已經、正在或可能對關鍵基礎設施資產產生“相關影響”的,應在72個小時內報告該事件及相關信息。
對資產可用性、完整性、可靠性或機密性造成的影響屬于“相關影響”。可以以口頭或者書面形式報告。如果是口頭報告,則在第一次報告后48小時內提交進一步的書面報告。
“網絡安全事件”指的是涉及以下一項或多項內容:(1)未經授權訪問或修改計算機數據或計算機程序;(2)未經授權損壞電子通訊;或(3)未經授權損害計算機數據、計算機程序或計算機的可用性、可靠性、安全性或運行。
3. 向誰報告?
向澳大利亞網絡安全中心(ACSC)報告。
4. 需報告哪些信息?
需要提交下列信息:(1)聯絡點信息;(2)機構信息(包括澳大利亞商業號碼);(3)關鍵基礎設施領域;(4)事件確定的日期和時間,以及事件是否正在進行;(5)確認該事件是否對資產產生重大影響;(6)細節信息,如事件是如何被發現的、事件性質(如是否是勒索攻擊或DOS攻擊)、事件是否對信息技術、運營技術或消費者數據造成影響、以及事件是否在其他地方被報道過等。
提交信息后,實體將收到一份來自ACSC的報告收據,將包括一個唯一的報告編號。根據事件的性質,ACSC可能會與實體聯系,以提供協助或獲取事件其他信息,以供事件響應和網絡威脅信息之用。在事件發生后,內政部也可能會與實體聯系,索取有關事件的額外資料,以作規管之用。
5. 法律責任
違規可能導致最高50個罰款單位(目前為11,100 澳元)罰款。
6. 其他規定
立法還為澳大利亞政府規定了額外的權力,澳大利亞政府認為這些權力對于維護澳大利亞關鍵基礎設施安全至關重要。從2021年12 月起,政府可以行使以下權力來應對影響關鍵基礎設施資產的網絡安全事件:
(1)信息收集——要求實體提供與網絡安全事件相關的信息;
(2)行動指示——如果實體不愿意或無法解決網絡安全事件,內政部長可以指示實體采取或不采取任何被認為合理必要、相稱且技術上可行的行動,以應對網絡安全事件;
(3)干預請求——為澳大利亞信號局提供“最后手段”的權力,可以在實體不愿或無法解決網絡安全事件的情況下控制資產(take control of an asset)。
三、印度計算機應急響應小組指令
2022年4月28日,印度的計算機應急響應小組(CERT-In)發布《關于<2000年信息技術法>第70B條第(6)款,可信網絡的信息安全實踐、程序、預防、響應和網絡安全事件報告指令》(Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet),要求組織在6小時內向CERT-In報告網絡安全事件。該指令中的措施和規定將納入《2000年信息技術法》第70B條,因此構成印度立法的一部分,將在60天內生效。
1. 誰需要報告?
服務提供商、中介機構、數據中心、法人團體和政府機構。
2. 什么情況下需要報告?
服務提供商、中介機構、數據中心、法人團體和政府機構應當在發現或被告知發生網絡安全事件后6小時內向CERT-In報告。
指令明確20類應當報告的網絡安全事件類型,包括:
(1) 關鍵網絡/系統的定向掃描/探測;
(2) 對關鍵系統/信息造成威脅;
(3) 未經授權訪問IT系統/數據;
(4) 網站篡改、入侵網站并進行未經授權的更改,如嵌入惡意代碼、鏈接到外部網站等;
(5) 惡意代碼攻擊,例如傳播病毒/蠕蟲/木馬/機器人/間諜軟件/勒索軟件/加密礦工;
(6) 攻擊數據庫、郵件和DNS等服務器以及路由器等網絡設備;
(7) 身份盜用、欺騙和網絡釣魚攻擊;
(8) 拒絕服務(DoS)和分布式拒絕服務(DDoS)攻擊;
(9) 攻擊關鍵基礎設施、SCADA和運營技術系統以及無線網絡;
(10) 攻擊電子政務、電子商務等應用程序;
(11) 數據入侵(Data Breach);
(12) 數據泄露(Data Leak);
(13) 攻擊物聯網設備和相關系統、網絡、軟件、服務器;
(14) 影響數字支付系統的攻擊或事件;
(15) 通過惡意移動應用程序(APP)進行的攻擊;
(16) 虛假手機應用程序;
(17) 未經授權訪問社交媒體帳戶;
(18) 影響云計算系統/服務器/軟件/應用程序的攻擊或惡意/可疑活動;
(19) 影響與大數據、區塊鏈、虛擬資產、虛擬資產交易所、托管錢包、機器人、3D和4D打印、增材制造和無人機相關的系統/服務器/網絡/軟件/應用程序的攻擊或惡意/可疑活動;
(20) 影響與人工智能和機器學習相關的系統/服務器/網絡/軟件/應用程序的攻擊或惡意/可疑活動。
3. 向誰報告?
向CERT-In報告。
根據《2000年信息技術法》,CERT-In承擔著以下職能:(1)收集、分析和傳播網絡事件相關信息;(2)預測和預警網絡安全事件;(3)采取網絡安全事件應急響應措施;(4)協調網絡事件響應活動;(5)發布信息安全實踐、程序、預防、相應和網絡事件報告相關的指南、建議、漏洞說明和白皮書等。
4. 其他規定
當接到CERT-In的命令或指示,以進行網絡事件響應或預防行動時,實體必須采取行動,或者向CERT-In提供信息或其他援助。命令或指示可能包括所需信息的格式(可能包括實時信息),并指定提交信息的時間,實體應按照這些要求將信息提供給CERT-In,否則將被視為不遵守該指令。上述實體應指定一個聯絡點,與CERT-In對接。
實體應連接到國家信息中心(NIC)或國家物理實驗室(NPL)的網絡時間協議(NTP)服務器,或與可連接到NTP服務器的其他服務器相連,以同步其所有ICT系統時鐘。擁有跨越多個地區ICT基礎設施的實體也可以使用除NPL和NIC以外的準確和標準的時間源,但要確保其時間源不會偏離NPL和NIC。
實體的所有ICT系統日志必須在印度管轄范圍內安全保留180天,并應與安全事件報告一起或在機構要求時提供給CERT-In。
指令還對部分特殊主體的數據留存義務提出要求。包括(1)數據中心、虛擬專用服務器(VPS)提供商、云服務提供商、虛擬專用網絡(VPN)提供商,應登記下列準確信息,這些信息必須在用戶注銷或撤銷登記(視情況而定)后繼續保存5年或更長時間(法律規定的期限):訂閱戶/客戶的有效名稱、租用服務的期限、分配給用戶的IPs、注冊或登錄的郵箱地址/IP地址/使用服務的時間戳、租用服務的目的、經驗證的地址和聯系電話、訂閱戶/客戶租用服務的所有權模式;(2)虛擬資產服務提供商、虛擬資產交易提供商和托管錢包提供商應維護“了解你的客戶”中獲取的所有信息和金融交易記錄。其中,交易記錄應以準確的方式保存包括但不限于相關方識別信息、IP地址、時間戳、時區、交易ID、公鑰(或等效標識符)、涉及的地址或賬戶(或等效標識符)、交易性質、交易日期、交易金額。
簡評
美國、澳大利亞、印度近期的相關立法動向呈現出一定特點:(1)給出明確的事件報告時間要求,要求在規定期限內盡可能快地向指定部門報告。具體來說,印度對于時間要求最為緊迫,要求在6小時內報告,美國要求發生網絡安全事件后72小時或因勒索攻擊支付贖金后24小時內,澳大利亞要求對關鍵基礎設施資產產生“重大影響”的應在12小時內,產生“其他影響”的在72小時內報告;(2)通過法律責任或后續行動,賦予事件報告要求一定的強制性。美國關鍵基礎設施運營者未按照要求報告事件的,CISA主任可以對實體發出傳票、提起民事訴訟,運營者甚至可能構成藐視法庭罪。澳大利亞主要通過罰款進行處罰;(3)賦予指定部門一定的事件處置干預能力。澳大利亞規定,如果實體不愿或無法解決網絡安全事件,澳大利亞信號局可以采取“最后手段”,控制關鍵基礎設施資產。
在我國現有立法中,《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》《計算機信息系統安全保護條例》等法律法規中也規定了報告義務及相應的法律責任。其中,《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》要求“按照規定”報告網絡/數據安全事件,并未直接給出細化要求。《計算機信息系統安全保護條例》要求“對計算機信息系統中發生的案件,有關使用單位應當在24小時內向當地縣級以上人民政府公安機關報告”。此外,在部分行業規定中,如證監會發布的《證券期貨業網絡安全事件報告與調查處理辦法》,要求“核心機構和經營機構網絡和信息系統發生故障,可能構成網絡安全事件的,應當立即報告。可能構成特別重大、重大網絡安全事件的,應當每隔30分鐘至少上報一次事件處置情況,直至系統恢復正常運行...”在我國網絡安全形勢依舊嚴峻,仍然是網絡攻擊主要受害國之一的背景下,近期國外相關立法動向可為我國研究修訂《網絡安全法》、進一步明確“有關規定”、細化事件報告制度、量化制度要求提供參考。
關于作者
公安部第三研究所網絡安全法律研究中心,聚焦前瞻性研究,切實踐行理論研究與立法實踐深度結合,跟蹤研判國內外網絡安全事件,深度分析國外網絡安全戰略、政策和立法動向,動態關注新技術新應用給網絡管理帶來的熱點難點問題,并持續推動科研成果應用于網絡安全相關立法活動,在國內網絡安全法律方面的影響力逐步提升。同時投身警務實踐活動和公安一線服務,為公安部門提供立法動態研判和決策研究支撐。
來源:虎符智庫
