美國《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》概述

在拜登總統(tǒng)于3月15日簽署的《2022年綜合撥款法案》中，《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》得以通過，并提出了新的數(shù)據(jù)泄露報(bào)告要求。這項(xiàng)新規(guī)定進(jìn)一步推動了聯(lián)邦政府改善國家網(wǎng)絡(luò)安全的努力，至少部分是由Colonial Pipeline網(wǎng)絡(luò)攻擊和SolarWinds攻擊引發(fā)的，該攻擊使東海岸的天然氣流通中斷數(shù)日。美國國會和總統(tǒng)在制定這項(xiàng)法律時(shí)，很可能也考慮到了俄羅斯因在烏克蘭的戰(zhàn)爭而不斷增加的網(wǎng)絡(luò)攻擊的威脅。

簡而言之，該法要求關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的某些實(shí)體向美國國土安全部(DHS)報(bào)告：

● 法案所規(guī)定的網(wǎng)絡(luò)事件，在不遲于法案所管轄的實(shí)體有理由相信事件發(fā)生后的72小時(shí)，以及

●?因勒索軟件攻擊而在支付贖金后24小時(shí)內(nèi)支付的任何贖金(即使勒索軟件攻擊不屬于前一點(diǎn)中要報(bào)告的網(wǎng)絡(luò)事件)

如果有大量新的或不同的信息，以及在法案所管轄的實(shí)體通知DHS事件已經(jīng)結(jié)束并已完全緩解和解決網(wǎng)絡(luò)事件之前，也需要補(bǔ)充報(bào)告。此外，法案所管轄的實(shí)體必須根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長(CISA)發(fā)布的規(guī)則，留存與法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付有關(guān)的信息。

這些要求的生效日期，以及報(bào)告的時(shí)間、方式和形式，以及其他項(xiàng)目，將在CISA局長發(fā)布的規(guī)則中規(guī)定。局長有24個(gè)月的時(shí)間來發(fā)布擬議的規(guī)則制定通知，之后有18個(gè)月的時(shí)間來發(fā)布最終規(guī)則。

具體來說，：

●?法案所管轄的實(shí)體：該法涵蓋了關(guān)鍵基礎(chǔ)設(shè)施部門(即總統(tǒng)政策指令21，Presidential Policy Directive 21所定義的)中的符合CISA局長所確定的定義的實(shí)體。這些部門的包括關(guān)鍵制造業(yè)、能源、金融服務(wù)、食品和農(nóng)業(yè)、醫(yī)療保健、信息技術(shù)和運(yùn)輸。在進(jìn)一步定義覆蓋實(shí)體時(shí)，CISA局長將考慮一些因素，如損害一個(gè)實(shí)體可能導(dǎo)致的國家和經(jīng)濟(jì)安全的后果，該實(shí)體是否是惡意網(wǎng)絡(luò)行為者的目標(biāo)，以及進(jìn)入這樣一個(gè)實(shí)體是否能夠破壞關(guān)鍵基礎(chǔ)設(shè)施。

●?法案所規(guī)定的網(wǎng)絡(luò)事件：根據(jù)該法案，將要求對 "法案所規(guī)定的網(wǎng)絡(luò)事件"進(jìn)行報(bào)告。部分借用《2002年國土安全法》第二十二章第2209(a)(4)條，該法規(guī)定的網(wǎng)絡(luò)事件一般是指在沒有合法授權(quán)的情況下，危害信息系統(tǒng)或信息系統(tǒng)信息的完整性、保密性或可用性的事件。根據(jù)該法，網(wǎng)絡(luò)事件必須是一個(gè)由CISA局長進(jìn)一步定義的法案所管轄的實(shí)體所經(jīng)歷的"重大網(wǎng)絡(luò)事件"，才能被涵蓋。

●?信息系統(tǒng)：信息系統(tǒng)是指 "為收集、處理、維護(hù)、使用、共享、傳播或處置信息而組織的一套離散的信息資源"，其中包括工業(yè)控制系統(tǒng)，如監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)和可編程邏輯控制器。

●?贖金支付：贖金支付是指在任何時(shí)候作為贖金交付的與勒索軟件攻擊有關(guān)的任何金錢或其他財(cái)產(chǎn)或資產(chǎn)，包括虛擬貨幣，或其任何部分的傳輸。

法案所規(guī)定的網(wǎng)絡(luò)事件的報(bào)告需要包括：

●?對法案所規(guī)定的網(wǎng)絡(luò)事件的描述，包括：

○ 受影響的信息系統(tǒng)、網(wǎng)絡(luò)或設(shè)備的識別和功能描述，這些系統(tǒng)、網(wǎng)絡(luò)或設(shè)備已經(jīng)或有理由相信已經(jīng)受到影響。

○?描述未經(jīng)授權(quán)的訪問，導(dǎo)致受影響的信息系統(tǒng)或網(wǎng)絡(luò)的機(jī)密性、完整性或可用性的嚴(yán)重?fù)p失，或業(yè)務(wù)或工業(yè)運(yùn)作的中斷。

○?此類事件的估計(jì)日期范圍；以及

○?對法案所管轄的實(shí)體的影響。

●?描述被利用的漏洞和已實(shí)施的安全防御措施，以及用于實(shí)施法案所規(guī)定的網(wǎng)絡(luò)事件的戰(zhàn)術(shù)、技術(shù)和程序(如適用)。

●?有理由相信應(yīng)對該網(wǎng)絡(luò)事件負(fù)責(zé)的每個(gè)行為者的身份或聯(lián)系信息(如適用)。

●?如果適用的話，被認(rèn)為或有理由認(rèn)為被未經(jīng)授權(quán)的人訪問或獲取的信息類別。

●?明確識別受影響的法案所管轄的實(shí)體的名稱和其他信息，包括(如適用)該實(shí)體的注冊或組建國家、商號、法定名稱或其他標(biāo)識符。

●?法案所管轄的實(shí)體的聯(lián)系信息，或在適用的情況下，覆蓋實(shí)體的授權(quán)服務(wù)供應(yīng)商。

贖金支付報(bào)告也需要類似信息，包括 (i) 贖金支付要求，包括所要求的虛擬貨幣或其他商品的類型(如適用)，(ii) 贖金支付指示，包括有關(guān)支付地點(diǎn)的信息(如適用)，以及(iii) 贖金支付的金額。法案所管轄的實(shí)體可以使用第三方，如事件響應(yīng)公司、保險(xiǎn)商或服務(wù)提供商來提交這些報(bào)告，但這并不免除法案所管轄的實(shí)體的報(bào)告義務(wù)。

國土安全部的國家網(wǎng)絡(luò)安全和通信集成中心(National Cybersecurity and Communications Integration Center，NCCIC)負(fù)責(zé)開展各種活動，根據(jù)該法接收和分析報(bào)告。這些活動包括：

●?評估網(wǎng)絡(luò)事件對公眾健康和安全的潛在影響。

●?與適當(dāng)?shù)穆?lián)邦部門和機(jī)構(gòu)協(xié)調(diào)和分享信息，以確定和跟蹤贖金支付，包括那些使用虛擬貨幣的贖金。

●?在自愿的基礎(chǔ)上，促進(jìn)相關(guān)關(guān)鍵基礎(chǔ)設(shè)施所有者和經(jīng)營者之間及時(shí)分享與法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付有關(guān)的信息，特別是與正在發(fā)生的網(wǎng)絡(luò)威脅或安全漏洞有關(guān)的信息；

●?以及如果涉及的網(wǎng)絡(luò)事件也符合重大網(wǎng)絡(luò)事件的定義，例如，對有關(guān)事件的細(xì)節(jié)進(jìn)行審查，并傳播預(yù)防或減輕未來類似事件的方法。重大網(wǎng)絡(luò)事件是指國土安全部部長認(rèn)為可能會對美國的國家安全利益、外交關(guān)系或經(jīng)濟(jì)，或?qū)γ绹嗣竦墓娦判摹⒐褡杂苫蚬步】岛桶踩斐擅黠@損害的網(wǎng)絡(luò)事件或一組相關(guān)的網(wǎng)絡(luò)事件。

該法還對法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付報(bào)告中的信息提供了若干保護(hù)。例如，根據(jù)該法，此類報(bào)告中包含的信息將根據(jù)其他聯(lián)邦法律為保護(hù)個(gè)人信息而制定的程序進(jìn)行保留、使用和傳播，并以保護(hù)個(gè)人信息免遭未經(jīng)授權(quán)的使用或未經(jīng)授權(quán)的披露。此外，一般來說，聯(lián)邦、州、地方或部落政府實(shí)體都不得使用該法規(guī)定的此類報(bào)告中的信息來監(jiān)管，包括通過執(zhí)法行動來監(jiān)管支付贖金的承保實(shí)體或?qū)嶓w的活動。這種執(zhí)法的排除并不適用于政府實(shí)體明確允許實(shí)體向該機(jī)構(gòu)提交的報(bào)告，以履行監(jiān)管報(bào)告義務(wù)。該法還禁止因提交此類報(bào)告而提出或維持訴訟理由。此外，法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付的報(bào)告將：

●?被視為法案所管轄的實(shí)體的商業(yè)、財(cái)務(wù)和專有信息，如果法案所管轄的實(shí)體這樣指定。

●?根據(jù)聯(lián)邦《信息自由法》以及類似的州、部落或地方法律，免于披露。

●?不構(gòu)成對法律規(guī)定的任何適用特權(quán)或保護(hù)的放棄，包括商業(yè)秘密保護(hù)；以及

●?不受任何聯(lián)邦機(jī)構(gòu)或部門的規(guī)則或任何關(guān)于與決策官員單方面溝通的司法理論的約束。

文章來源：網(wǎng)安尋路人