《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 美國《2022年關鍵基礎設施網(wǎng)絡事件報告法》概述

美國《2022年關鍵基礎設施網(wǎng)絡事件報告法》概述

2022-03-27
來源:互聯(lián)網(wǎng)安全內參
關鍵詞: 關鍵基礎設施

  在拜登總統(tǒng)于3月15日簽署的《2022年綜合撥款法案》中,,《2022年關鍵基礎設施網(wǎng)絡事件報告法》得以通過,并提出了新的數(shù)據(jù)泄露報告要求,。這項新規(guī)定進一步推動了聯(lián)邦政府改善國家網(wǎng)絡安全的努力,至少部分是由Colonial Pipeline網(wǎng)絡攻擊和SolarWinds攻擊引發(fā)的,,該攻擊使東海岸的天然氣流通中斷數(shù)日,。美國國會和總統(tǒng)在制定這項法律時,很可能也考慮到了俄羅斯因在烏克蘭的戰(zhàn)爭而不斷增加的網(wǎng)絡攻擊的威脅,。

  簡而言之,,該法要求關鍵基礎設施領域的某些實體向美國國土安全部(DHS)報告:

  法案所規(guī)定的網(wǎng)絡事件,,在不遲于法案所管轄的實體有理由相信事件發(fā)生后的72小時,以及

  因勒索軟件攻擊而在支付贖金后24小時內支付的任何贖金(即使勒索軟件攻擊不屬于前一點中要報告的網(wǎng)絡事件)

  如果有大量新的或不同的信息,,以及在法案所管轄的實體通知DHS事件已經(jīng)結束并已完全緩解和解決網(wǎng)絡事件之前,,也需要補充報告。此外,,法案所管轄的實體必須根據(jù)網(wǎng)絡安全和基礎設施安全局局長(CISA)發(fā)布的規(guī)則,,留存與法案所規(guī)定的網(wǎng)絡事件和贖金支付有關的信息。

  這些要求的生效日期,,以及報告的時間,、方式和形式,以及其他項目,,將在CISA局長發(fā)布的規(guī)則中規(guī)定,。局長有24個月的時間來發(fā)布擬議的規(guī)則制定通知,之后有18個月的時間來發(fā)布最終規(guī)則,。

  具體來說,,:

  法案所管轄的實體:該法涵蓋了關鍵基礎設施部門(即總統(tǒng)政策指令21,Presidential Policy Directive 21所定義的)中的符合CISA局長所確定的定義的實體,。這些部門的包括關鍵制造業(yè),、能源、金融服務,、食品和農(nóng)業(yè),、醫(yī)療保健、信息技術和運輸,。在進一步定義覆蓋實體時,CISA局長將考慮一些因素,,如損害一個實體可能導致的國家和經(jīng)濟安全的后果,,該實體是否是惡意網(wǎng)絡行為者的目標,以及進入這樣一個實體是否能夠破壞關鍵基礎設施,。

  法案所規(guī)定的網(wǎng)絡事件:根據(jù)該法案,,將要求對 “法案所規(guī)定的網(wǎng)絡事件”進行報告。部分借用《2002年國土安全法》第二十二章第2209(a)(4)條,,該法規(guī)定的網(wǎng)絡事件一般是指在沒有合法授權的情況下,,危害信息系統(tǒng)或信息系統(tǒng)信息的完整性、保密性或可用性的事件,。根據(jù)該法,,網(wǎng)絡事件必須是一個由CISA局長進一步定義的法案所管轄的實體所經(jīng)歷的“重大網(wǎng)絡事件”,才能被涵蓋,。

  信息系統(tǒng):信息系統(tǒng)是指 “為收集,、處理,、維護、使用,、共享,、傳播或處置信息而組織的一套離散的信息資源”,其中包括工業(yè)控制系統(tǒng),,如監(jiān)督控制和數(shù)據(jù)采集系統(tǒng),、分布式控制系統(tǒng)和可編程邏輯控制器。

  贖金支付:贖金支付是指在任何時候作為贖金交付的與勒索軟件攻擊有關的任何金錢或其他財產(chǎn)或資產(chǎn),,包括虛擬貨幣,,或其任何部分的傳輸。

  法案所規(guī)定的網(wǎng)絡事件的報告需要包括:

  對法案所規(guī)定的網(wǎng)絡事件的描述,,包括:

  受影響的信息系統(tǒng),、網(wǎng)絡或設備的識別和功能描述,這些系統(tǒng),、網(wǎng)絡或設備已經(jīng)或有理由相信已經(jīng)受到影響,。

  描述未經(jīng)授權的訪問,導致受影響的信息系統(tǒng)或網(wǎng)絡的機密性,、完整性或可用性的嚴重損失,,或業(yè)務或工業(yè)運作的中斷。

  此類事件的估計日期范圍,;以及

  對法案所管轄的實體的影響,。

  描述被利用的漏洞和已實施的安全防御措施,以及用于實施法案所規(guī)定的網(wǎng)絡事件的戰(zhàn)術,、技術和程序(如適用),。

  有理由相信應對該網(wǎng)絡事件負責的每個行為者的身份或聯(lián)系信息(如適用)。

  如果適用的話,,被認為或有理由認為被未經(jīng)授權的人訪問或獲取的信息類別,。

  明確識別受影響的法案所管轄的實體的名稱和其他信息,包括(如適用)該實體的注冊或組建國家,、商號,、法定名稱或其他標識符。

  法案所管轄的實體的聯(lián)系信息,,或在適用的情況下,,覆蓋實體的授權服務供應商。

  贖金支付報告也需要類似信息,,包括 (i) 贖金支付要求,,包括所要求的虛擬貨幣或其他商品的類型(如適用),(ii) 贖金支付指示,包括有關支付地點的信息(如適用),,以及(iii) 贖金支付的金額,。法案所管轄的實體可以使用第三方,如事件響應公司,、保險商或服務提供商來提交這些報告,,但這并不免除法案所管轄的實體的報告義務。

  國土安全部的國家網(wǎng)絡安全和通信集成中心(National Cybersecurity and Communications Integration Center,,NCCIC)負責開展各種活動,,根據(jù)該法接收和分析報告。這些活動包括:

  評估網(wǎng)絡事件對公眾健康和安全的潛在影響,。

  與適當?shù)穆?lián)邦部門和機構協(xié)調和分享信息,,以確定和跟蹤贖金支付,包括那些使用虛擬貨幣的贖金,。

  在自愿的基礎上,,促進相關關鍵基礎設施所有者和經(jīng)營者之間及時分享與法案所規(guī)定的網(wǎng)絡事件和贖金支付有關的信息,特別是與正在發(fā)生的網(wǎng)絡威脅或安全漏洞有關的信息,;

  以及如果涉及的網(wǎng)絡事件也符合重大網(wǎng)絡事件的定義,,例如,對有關事件的細節(jié)進行審查,,并傳播預防或減輕未來類似事件的方法,。重大網(wǎng)絡事件是指國土安全部部長認為可能會對美國的國家安全利益、外交關系或經(jīng)濟,,或對美國人民的公眾信心,、公民自由或公共健康和安全造成明顯損害的網(wǎng)絡事件或一組相關的網(wǎng)絡事件。

  該法還對法案所規(guī)定的網(wǎng)絡事件和贖金支付報告中的信息提供了若干保護,。例如,,根據(jù)該法,此類報告中包含的信息將根據(jù)其他聯(lián)邦法律為保護個人信息而制定的程序進行保留,、使用和傳播,,并以保護個人信息免遭未經(jīng)授權的使用或未經(jīng)授權的披露。此外,,一般來說,聯(lián)邦,、州,、地方或部落政府實體都不得使用該法規(guī)定的此類報告中的信息來監(jiān)管,包括通過執(zhí)法行動來監(jiān)管支付贖金的承保實體或實體的活動,。這種執(zhí)法的排除并不適用于政府實體明確允許實體向該機構提交的報告,,以履行監(jiān)管報告義務。該法還禁止因提交此類報告而提出或維持訴訟理由。此外,,法案所規(guī)定的網(wǎng)絡事件和贖金支付的報告將:

  被視為法案所管轄的實體的商業(yè),、財務和專有信息,如果法案所管轄的實體這樣指定,。

  根據(jù)聯(lián)邦《信息自由法》以及類似的州,、部落或地方法律,免于披露,。

  不構成對法律規(guī)定的任何適用特權或保護的放棄,,包括商業(yè)秘密保護;以及

  不受任何聯(lián)邦機構或部門的規(guī)則或任何關于與決策官員單方面溝通的司法理論的約束,。




微信圖片_20220318121103.jpg

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]