关键信息基础设施事件报告制度的思考(一)
文章目录
前言
关键信息基础设施事件报告是有效应对网络安全事件、及时化解网络安全风险,保障关键信息基础设施安全稳定运行的重要环节,已成为强化关键信息基础设施保护制度的关注点。
我国《关键信息基础设施安全保护条例》(以下简称《条例》)自2021年9月1日起已施行两年,关键信息基础设施安全保护领域的第一项国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)也于 2023 年 5 月正式施行。
一、强化关键基础设施实体的事件报告义务成为各国立法普遍关注
近年来,主要国家和地区新发布或修订的网络安全立法中均将事件报告义务作为核心内容写入。
在美国《2022 年关键基础设施网络事件报告法》对关键基础设施事件报告要求进行单独立法;欧盟新修订的 NIS2 指令将事件处理列为实体(包括基本实体和重要实体)在其网络安全风险管理政策中必须解决的十大关键要素之一;澳大利亚《2021 年安全立法修正案(关键基础设施)法》为关键基础设施资产的负责实体引入强制性事件报告义务。
上述立法在事件报告方面主要呈现以下特点:
1、收紧报告期限要求,建立分步式报告方式。
快速响应、及时处置是有效应对网络安全事件、防范危害扩大的关键,因此确保监管部门及时掌握事件情况成为制度设计考虑的首要因素,其中12 小时、24 小时和 72 小时成为普遍关注的时间点。
澳大利亚要求实体意识到网络安全事件已经或正在发生,并已经或正在对关键基础设施资产可用性产生“重大影响”的应在 12 小时内报告,如果仅产生“相关影响”应在 72 小时内报告。
美国要求实体在有合理理由相信网络事件已经发生后的 72 小时内报告,或者在遭受勒索攻击并支付赎金后的 24 小时内报告。当有新的实质性进展时及时提交更新或补充报告,直到事件结束并得到完全缓解和恢复,此类报告并未限制时限。
欧盟NIS2 指令建立了分步式的事件报告方式,分别是在发现重大事件后 24 小时内提交早期预警,说明事件是否由非法行为引起以及是否会产生跨境影响;72 小时内提交事件通知,更新预警信息并提交初步评估情况;以及 1 个月内提交最终报告,对事件影响、引发事件的威胁类型、采取的缓解措施等内容进行详细描述。欧盟表示此种制度设计一方面是需要事件快速报告以避免影响范围扩大,另一方面也需要对事件的深入报告以便从单一事件中汲取经验教训。
2、限定报告事件类型,聚焦重大网络安全风险。
在上述立法中,并非发生的所有网络安全事件均需向监管部门报告,主要聚焦在特定或重大网络安全事件。
欧盟NIS2 指令仅要求实体报告“重大事件”并给出“重大事件”的判断因素,即该事件已经造成或有能力造成实体服务严重中断或经济损失;或该事件已经或有能力通过造成相当大的实质性或非实质性损害而影响其他自然人或法人。
美国在立法中并未对应当报告的“网络事件”范围进行直接限定,而是授权网络安全和基础设施安全局(CISA)后续制定实施细则,在实施细则中解决网络事件的定义问题。尽管如此,美国在立法依旧划定了底线要求,指出“会对信息系统或网络的机密性、完整性造成重大损失,或对操作系统和程序安全性和韧性造成严重影响”的事件必须列入报告范围。
3、延伸事件报告效能,推动良性互动提升防御能力。
为促进实体和监管部门形成良性互动,提高实体主动报告的积极性,当前的事件报告制度并非仅强调实体一方应履行的义务,同时要求政府为实体提供必要支持,为实体报告事件提供便捷方式,帮助实体对事件进行处置。
欧盟NIS2 指令要求成员国提供包括单一入口、自动化系统、在线表格、用户友好界面、专用平台等手段,减轻实体报告事件的行政负担。计算机安全事件应急响应小组(CSIRT)或主管当局在收到实体提交的早期预警后 24 小时内应当对实体进行回应,包括对事件的初步反馈以及应实体要求就可采取的缓解措施提供指导,必要时还应提供技术支持。此外,为最大化事件报告价值,制度设计也不局限于对报告的单一事件进行处置,而是在此基础上强调政府部门应当对报告的所有事件进行挖掘,分析攻击手段,排查同类风险,提升防御能力。
美国要求国家网络安全和通信集成中心对提交的所有事件信息进行汇总、分析,评估安全控制的有效性并识别恶意行为者为突破这些控制而采取的策略;同时审查重大网络事件的细节,以确定和披露未来能够预防类似事件的方法。
4、加大惩戒力度,为实现有效监管提供支撑。
制度的充分落实是组织主动合规与政府有效监管共同助推的结果,为确保实体履行事件报告义务,同时为政府监管提供法律依据,上述立法均为违反事件报告义务设置法律责任。
在美国的立法中,CISA 被授权在发现实体存在应报告而未报告的情形时,可以要求实体提供相关信息,如果实体未在 72 小时内予以充分回应,CISA 可以对实体发出传票强制披露信息、提交司法部长提起诉讼,实体可能构成藐视法庭罪。
澳大利亚为不履行事件报告义务的行为设定罚款,同时规定如果实体不愿意或无法解决网络安全事件,授权政府可以指示实体采取必要措施以应对网络安全事件。作为最后手段,政府还可以直接控制资产。
NIS2 指令修订过程中,欧盟表示成员国普遍不愿意对未采取安全措施或报告事件的实体进行处罚,这不利于提高实体网络韧性。鉴于此,NIS2 指令要求成员国应当确保其主管当局有权要求实体按照规定的期限和要求履行事件报告的义务。同时专门针对不履行事件报告义务等行为设定与上一财政年度全球年营业额相挂钩的罚款数额。
总结
作为《条例》确立的一项重要制度,现阶段如何将事件报告义务落到实处,确保其在关键信息基础设施安全保护中发挥应有作用值得思考。
90
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
