旧金山——CISA 执行董事布兰登·威尔士 (Brandon Wales) 表示,我们仅了解影响美国组织的网络攻击的一小部分,这是一个严重问题。
本月初,在 2024 年 RSA 大会上,威尔士与 TechTarget 编辑部讨论了《2022 年关键基础设施网络事件报告法案》(CIRCIA)。该法案由乔·拜登总统于 2022 年 3 月签署成为法律,要求 CISA 制定法规,要求某些实体向国家网络安全机构报告涵盖的网络事件和赎金支付情况。
根据这些报告要求,CISA 将能够 机构网站“快速部署资源并向遭受攻击的受害者提供援助,分析各个部门的报告以发现趋势,并快速与网络防御者分享这些信息以警告其他潜在受害者。”
尽管 CIRCIA 已签署成为法律,但该规则仍在制定中。拟议规则 四月出版涵盖与关键基础设施相关的广泛组织,例如医疗保健、运营技术、能源、国防、教育、政府机构等。受保实体必须在合理认为事件发生后 72 小时内或在支付赎金后 24 小时内报告相关网络事件。
CISA 将在 7 月 3 日结束的公众意见征询期结束后制定最终规则,在此期间,个人和组织可以对拟议规则提供反馈意见。该机构将在制定最终规则时考虑反馈意见,CISA 必须在拟议规则发布 18 个月后公布最终规则。
在一次采访中,威尔士分享了他对该拟议规则的看法,包括他为什么认为该规则有必要、如何联系那些原本不会自愿报告的组织等等。
编者注: 为确保内容清晰和简洁,对本次采访进行了编辑。
什么使得 CIRCIA 成为必要?
布兰登·威尔士:这是一个重要的问题。我们早就知道联邦政府对网络生态系统中发生的事情缺乏足够的了解。如今在美国国内,我们只知道一小部分袭击我们的事件,这削弱了我们保护这个国家的能力。这意味着我们无法足够快地发现对手的活动。这意味着在我们意识到并分享这些信息以便其他组织能够保护自己之前,新技术可能会反复出现。这意味着我们无法提供援助。在执法方面,这意味着我们无法追踪赎金支付的资金,我们无法开始识别坏人,也无法从执法角度了解有哪些选择可以施加成本。
这些差距至关重要。通过与国会的合作,我们表明我们需要弥补这些差距,而对关键基础设施实行强制性的一致报告制度对于我们获得适当的透明度至关重要,这将使我们能够更好地提供这项措施所需的网络安全水平。
根据拟议的指导方针,受 CIRCIA 影响的组织范围有多大?
威尔士:在拟议规则制定通知中,我们记录了涵盖实体的范围以及我们如何定义涵盖实体。目前,根据我们目前的估计,我们的定义将涵盖数十万个实体,不包括全国数百万家小企业。我们认为这是合适的。国会在 CIRCIA 立法中给予了我们广泛的自由度。该立法规定,在关键基础设施领域运营的任何实体都有可能受到该法规的约束。我们决定缩小范围并排除小企业,但我们确实确保涵盖所有特别重要的实体,从所有大企业开始。然后,我们逐个行业进行检查,以确保这些行业中的关键小企业也受到覆盖。我们认为,最终将有数十万个实体需要根据该规则进行报告。
过去几年,CISA 的一项举措就是鼓励组织自愿报告,但考虑到各种商业因素,这可能说起来容易做起来难。这些推广工作有多成功?
自愿报告的数量有所增加,但尚未达到我们需要的规模。
布兰登·威尔士中国钢铁协会执行董事
威尔士:自愿报告的数量有所增加,但还没有达到我们需要的规模。我们认识到,在事件发生期间,公司面临着很大的压力,要求他们不报告。他们会从外部律师那里得到建议。公司内部也会有压力,试图确保他们掌握尽可能多的信息,并在告诉我们之前解决问题。
我们试图争辩的是,今天,你不会从报告中获得巨大的价值。但明天,你会希望其他受到攻击的公司报告,因为我们从报告中收集到的信息将对你有所帮助。我认为这是 CIRCIA 的核心,也是 CISA 领导的一种独特法规的原因。其他监管机构现有的大多数网络事件报告法规都是关于问责制的。他们希望确保公司对潜在缺陷承担责任,或者确保他们符合其他监管机构制定的网络安全标准。我们的法规不是关于该公司的责任——而是关于将信息提供给政府,我们可以利用这些信息来保护更广泛的生态系统并对我们的对手施加代价。
事实上,CIRCIA 有具体的保护措施,即根据 CIRCIA 法规提交的信息不得用于针对这些公司的监管或其他执法活动。我们认为,尽管现在需要这样做,但最终,这些信息将用于增强我们所做的志愿工作——将信息交到网络捍卫者手中,使我们所有关键基础设施、所有网络和系统更加安全。
从您收到的公众评论或与利益相关者的对话中,您得到了哪些反馈?人们喜欢什么?摩擦点是什么?
威尔士:如果你回顾一下我们第一次获得这项权力时我所做的一些新闻发布,当时我们开始进行听证会,并在 2022 年发出了信息请求,我们现在收到最多反馈的领域与我们当时假设的相同,这是规则制定过程中最关键的两个问题。一是,我们如何定义需要报告的涵盖实体?我们是否正确地确定了范围?我们已经阐述了为什么我们认为我们已经确定了正确的范围,以及为什么这种规模的公司报告对于确保我们能够完成计划中的使命至关重要。行业将就该范围的反馈发表意见,然后我们将根据评论,看看我们如何调整范围或最终规则。
第二个关键问题是,什么是涵盖的网络事件?哪些类型的事件必须报告?这是一个非常重要的问题,因为我们希望确保收到足够多的事件,以便我们了解针对美国网络的网络活动——以便我们能够尽早发现这些活动。但我们要确保能够保护信号不受噪音干扰。因此,与我们包括的内容同样重要的是我们要排除的事件类型。但这显然是一个非常关键的问题。
这两个方面将是我们需要花费最多时间去审查意见并研究如何对最终规则做出最终调整的方面。我预计最终规则将与拟议规则有所不同。有多少不同?我不知道。我们必须看看我们收到了什么样的意见。到目前为止,已经有少量意见通过案卷正式提交,但还没有任何非常详细和实质性的意见。这些意见往往会在稍后出现。我知道很多组织告诉我们他们正在处理这些问题,我对此充满期待。
对于未受到 CIRCIA 覆盖但可能不愿意报告的组织,您打算如何联系这些实体?
威尔士:这是一个非常重要的问题,因为我们不想让任何人等待 CIRCIA 开始报告。我们今天就需要这些报告。我不想再等 18 个月才开始获取针对美国关键基础设施的网络攻击的关键信息。这些信息将对我们有帮助,也将对每个人都有帮助。当我们获得这些信息并可以分享匿名信息以造福网络防御者时,每家公司都会受益。我们敦促每家公司立即向我们报告其重大网络事件。我们的网站让报告变得非常简单:CISA.gov/report。
但即使 CIRCIA 出台后,也应该将其视为底线,而不是上限。即使你没有被要求报告,并不意味着如果你报告了,我们都不会受益。如果你是一家公司,并且有能力报告,并且发生了网络事件——尤其是你的 CISO 说“嗯,这很有趣”的事件——请告诉我们。这些信息将使我们受益。它将使大公司受益。它将使其他小公司受益。我知道将这些信息提供给政府会有一定的负担,但我们必须将其视为共同利益,我们都可以为其做出贡献并从中受益。这很难。它需要单个公司做出一点牺牲。但是,我们将这一部分作为我们国家文化的一部分,将为更广泛的社区带来红利,这将确保我们拥有更安全的网络生态系统。
Alexander Culafi 是 TechTarget 编辑部的高级信息安全新闻撰稿人和播客主持人。
1716704661
#CISA #执行董事讨论 #CIRCIA事件报告
2024-05-23 14:56:00
