CISA 执行董事讨论 CIRCIA、事件报告
旧金山——CISA 执行董事布兰登·威尔士 (Brandon Wales) 表示,我们仅了解影响美国组织的网络攻击的一小部分,这是一个严重问题。 本月初,在 2024 年 RSA 大会上,威尔士与 TechTarget 编辑部讨论了《2022 年关键基础设施网络事件报告法案》(CIRCIA)。该法案由乔·拜登总统于 2022 年 3 月签署成为法律,要求 CISA 制定法规,要求某些实体向国家网络安全机构报告涵盖的网络事件和赎金支付情况。 根据这些报告要求,CISA 将能够 机构网站“快速部署资源并向遭受攻击的受害者提供援助,分析各个部门的报告以发现趋势,并快速与网络防御者分享这些信息以警告其他潜在受害者。” 尽管 CIRCIA 已签署成为法律,但该规则仍在制定中。拟议规则 四月出版涵盖与关键基础设施相关的广泛组织,例如医疗保健、运营技术、能源、国防、教育、政府机构等。受保实体必须在合理认为事件发生后 72 小时内或在支付赎金后 24 小时内报告相关网络事件。 CISA 将在 7 月 3 日结束的公众意见征询期结束后制定最终规则,在此期间,个人和组织可以对拟议规则提供反馈意见。该机构将在制定最终规则时考虑反馈意见,CISA 必须在拟议规则发布 18 个月后公布最终规则。 在一次采访中,威尔士分享了他对该拟议规则的看法,包括他为什么认为该规则有必要、如何联系那些原本不会自愿报告的组织等等。 编者注: 为确保内容清晰和简洁,对本次采访进行了编辑。 什么使得 CIRCIA 成为必要? 布兰登·威尔士 布兰登·威尔士:这是一个重要的问题。我们早就知道联邦政府对网络生态系统中发生的事情缺乏足够的了解。如今在美国国内,我们只知道一小部分袭击我们的事件,这削弱了我们保护这个国家的能力。这意味着我们无法足够快地发现对手的活动。这意味着在我们意识到并分享这些信息以便其他组织能够保护自己之前,新技术可能会反复出现。这意味着我们无法提供援助。在执法方面,这意味着我们无法追踪赎金支付的资金,我们无法开始识别坏人,也无法从执法角度了解有哪些选择可以施加成本。 这些差距至关重要。通过与国会的合作,我们表明我们需要弥补这些差距,而对关键基础设施实行强制性的一致报告制度对于我们获得适当的透明度至关重要,这将使我们能够更好地提供这项措施所需的网络安全水平。 根据拟议的指导方针,受 CIRCIA 影响的组织范围有多大? 威尔士:在拟议规则制定通知中,我们记录了涵盖实体的范围以及我们如何定义涵盖实体。目前,根据我们目前的估计,我们的定义将涵盖数十万个实体,不包括全国数百万家小企业。我们认为这是合适的。国会在 CIRCIA 立法中给予了我们广泛的自由度。该立法规定,在关键基础设施领域运营的任何实体都有可能受到该法规的约束。我们决定缩小范围并排除小企业,但我们确实确保涵盖所有特别重要的实体,从所有大企业开始。然后,我们逐个行业进行检查,以确保这些行业中的关键小企业也受到覆盖。我们认为,最终将有数十万个实体需要根据该规则进行报告。 过去几年,CISA […]