我的位置 态势感知  >  漏洞态势

美国网络安全高官集体呼吁:关基企业不上报黑客事件应罚款

来源:互联网安全内参 时间:2021-10-12 阅读次数:

美国网络安全与基础设施安全局长Jen Easterly

  • 在9月23日美国参议院国土安全与政府事务委员会讨论安全威胁的听证会上,网络安全高管们集体呼吁建立关基企业上报黑客事件制度,并对拒不遵守规定的企业处以罚款;

  • 美国网络安全与基础设施安全局长Jen Easterly、联邦政府首席信息安全官Chris DeRusha以及国家网络总监Chris Inglis均支持这一倡议。

9月23日,美国高级网络官员敦促国会加大力度,要求一切关键基础设施运营商及时披露黑客事件,呼吁在违规事件发生后缩短报告时间窗口,并对拒不遵守规定的企业处以罚款。

安全专家们表示,此类授权能够帮助联邦政府机关与关键经济部门有效应对安全事件。但也有部分企业和立法者对拜登政府提出的这种更严格的监管与潜在处罚制度持谨慎态度。

美国网络安全高官集体呼吁,制定关基企业上报黑客事件制度

网络安全与基础设施安全局长Jen Easterly上周四表示,黑客攻击事件披露的速度越快,政府官员分析数据的时机就越早,并有助于发现其他潜在攻击目标。

Easterly女士在美国参议院国土安全与政府事务委员会的安全威胁听证会上表示,“为此,各方必须及时上报网络安全事件,最好是在发现问题的24个小时以内。”

在此次听证会上,Easterly女士、联邦政府首席信息安全官Chris DeRusha以及国家网络总监Chris Inglis还共同呼吁,对违反此类规定的企业施以经济处罚。

Inglis强调,“我们并不想让受害者们承受额外压力,但这些信息对于全社会的整体福祉确实至关重要。”

这些声明表明,拜登政府认为积极执法是实现潜在黑客事件报告制度的关键。过去十年来,由于私营企业的强烈抵制,国会一直没能通过这方面的制度,只有各州结合自身情况要求企业披露涉及个人信息泄露的违规事件。金融服务等受监管行业则制定了专门的行业规定,要求企业上报黑客事件。

时至今日,针对作为美国经济体系基石的关键基础设施运营商的黑客事件上报,仍然缺乏联邦政府层面的报告标准。

 最晚上报时间存争议:24小时 vs 72小时

最近几个月来,针对联邦机构与关键基础设施运营商的一连串网络攻击为立法注入了新的动力。部分企业及对商业部门较为关注的立法者开始认为,有必要制定相应规则。游说者们则推动立法者放宽要求,包括将上报时间窗口宽延至72个小时,表示上报周期过短可能分散企业用于应对攻击事件的资源,并导致政府被大量未经筛选的上报数据瞬间吞没。

虽然形势一片向好,但近几个月来国会提案在事件报告的实际广度与执行方式等问题上仍然存在分歧。

今年7月公布的一项参议院法案提案,为相关企业设立24个小时的上报窗口,并允许网络与基础设施安全局对超出规定时间的企业处以每天相当于上年收入0.5%的罚款。众议院一项法案草案则计划授予网络与基础设施安全局对72小时仍未上报安全事件的企业进行传唤,但不施以罚款。一位助理人员表示,众议院立法者也考虑过罚款问题,不过最终认为罚款只会令网络与基础设施安全局与企业的关系进一步恶化,反而不利于及时获取威胁信息。

Easterly上周四还表示,在违规事件发生后的24小时内披露信息,能帮助网络与基础设施安全局快速跟进。如果上报时间窗口过短很可能降低信息质量。

她强调,“我们需要的是信号,而不是错误的噪声。”

就在这次听证会的前一天,美国政府刚刚发布能源与交通等关键基础设施行业企业如何加强网络防御的最新指南。指南包含网络风险评估、对威胁进行持续监控,以及对计算机网络内的所有软件与硬件进行记录备案。

美国官员表示,考虑到围绕关键基础设施出现的网络攻击正愈演愈烈,很可能需要出台更多强制性法规予以管控。例如,今年5月黑客破坏东海岸最大的油气管道运营商,6天之后运输安全管理局随即公布新政策。官员们强调,新规定要求管道运营商在12小时内上报黑客事件,否则可能面临每天7000美元的罚款。

企业方则对巨额罚款持谨慎态度。

总部位于华盛顿的科技企业贸易协会信息技术行业委员会政策高级副总裁兼总法律顾问John Miller表示,施加处罚可能导致企业只关注如何避免罚款,而无心思考如何制定网络安全最佳实践以建立合规性计划。

Miller说,“惩罚措施往往适得其反,甚至有碍于目前私营部门与政府之间的伙伴关系。”

参考来源:

wsj.com

 

 

原文来源:互联网安全内参

“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn”

8条评论