超级会员免费看
美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。
新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见,为期60天。
CISA估计,未来11年该规定的合规成本将达到26亿美元,即每年约2.3亿美元,其中行业成本为14亿美元,联邦政府成本为12亿美元。
白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告,从而更好地识别攻击模式,确定网络犯罪分子和国家黑客使用的攻击策略,改进防御手段。
“72小时新规”遭企业强烈反对
根据新规,拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击,并在24小时内报告勒索软件支付情况。
该规定一经发布就遭到大量公司反对,这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节,这有利于攻击者。
企业还指出,他们必须遵守各个联邦机构多如牛毛(数十个)报告要求,以及州数据泄露法律。
谁需要遵守新规?
CISA表示,该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者,例如医疗、能源、制造业和金融服务业。该
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
