自2月24日起,俄烏沖突持續焦灼,關鍵基礎設施成為網絡攻擊重點。戰前烏克蘭政務、金融基礎設施多次受損,開戰后烏克蘭電信基礎設施經常性中斷服務,俄羅斯政務等基礎設施也出現無法訪問情況。在俄烏沖突升級背景下,3月11日,美國眾議院通過《關鍵基礎設施網絡事件報告》法案,該法案要求關鍵基礎設施所有者和運營商在遇到重大網絡攻擊72小時內、被勒索軟件勒索付款的24小時內向網絡安全和基礎設施安全局(CISA)報告。這項法律將使聯邦機構更深入地了解攻擊趨勢,并可能有助于在重大漏洞或攻擊蔓延之前提供早期預警。在俄烏混合戰爭引爆全球“關基”網絡安全危機的時刻,美國通過《關鍵基礎設施網絡事件報告法案》不愧為未雨綢繆,為應對網絡安全態勢現代化的需求提前做好準備。
一
俄烏沖突間接推動美國網絡安全立法變革
隨著科技不斷發展,現代戰爭的形式已經不再局限于熱戰。作為第二種戰爭模式的“網絡戰爭”雖不見硝煙,但它讓現代戰爭變得更加快速且具有破壞力,可能不費一兵一卒,但它所帶來的危害其實并不亞于現實戰爭,可對目標國重要基礎設施實現精準打擊。此次俄烏對戰,以國家為打擊目標、摧毀國防、軍工、能源關鍵基礎設施,公共通信、金融、電子政務等各種關鍵信息基礎設施“斷網”的背后,無不透露出新型網絡戰已經具備實體攻擊的能力。
(一)美國國家網絡安全立法發展進程主要事件
俄烏沖突引發的一系列網絡安全問題,間接推動了美國網絡安全立法的變革,有助于立法者克服時間和權限障礙通過立法,要求關鍵基礎設施的私營部門所有者向政府報告網絡安全事件,并推動《網絡安全增強法》的更新。
(二)《網絡安全增強法(2022)》重點更新內容
3月1日,美國參議院通過《美國網絡安全增強法(2022)》。該法由《網絡事件報告法案》、《聯邦信息安全現代化》和《 聯邦安全云改進和就業法案》三項網絡安全法案措施組成。總體來看,該法包含旨在使美國聯邦政府的網絡安全態勢現代化的若干措施。試圖通過簡化之前的網絡安全法案來改善聯邦機構之間的協調,并要求所有民事機構向CISA報告網絡攻擊。法案的通過將有助于確保銀行、電網、供水網絡和交通系統等關鍵基礎設施實體能夠在網絡遭到破壞時迅速恢復并向人們提供基本服務。
《網絡事件報告法案》更新了各機構向國會報告網絡事件的規定,并賦予CISA更多權力,以確保其是民用網絡安全事件主要負責機構。“最重要的”措施要求關鍵基礎設施的運營商在攻擊發生后七十二小時內通知CISA;在勒索軟件支付后二十四小時內通知CISA。《聯邦信息安全現代化》重點集成了更有效的網絡安全實踐。《 聯邦安全云改進和就業法案》加速部署云計算產品和服務,并大力推動采用安全云能力、創建工作并減少對遺留信息技術依賴。
二
美國對關鍵基礎設施保護的布局
美國作為網絡技術的發起國和強大網絡空間勢力的擁有國,也是關鍵基礎設施保護起步最早的國家。美國國土安全部作為關鍵基礎設施的主管部門,也肩負著保障國家安全的重要職責,基于此,美國關鍵基礎設施安全保障的戰略思路和法律政策,從一開始就與國家安全掛鉤,相比其他國家,站得更高,布局更加寬廣。
(一)站位高瞻,戰略地位掛鉤國家安全
結合2015年美國政府《網絡安全法案》、 3月1日參議院通過《美國網絡安全增強法(2022)》,以及NIST根據法案提出針對關鍵基礎設施的具體框架指南,美國關鍵基礎設施安全的戰略地位全面與國家安全掛鉤。近幾年,安全威脅呈現出線上線下聯動的態勢,加之此次俄烏沖突中暴露出來的關鍵基礎設施成為網攻重點對象,關鍵基礎設施戰略地位呈不斷抬升之勢。美國參議院國土安全和政府事務委員會主席加里·彼得斯認為,《美國網絡安全增強法(2022)》的通過,是具有戰略里程碑意義的,是確保美國能夠反擊的重要一步,將確保 CISA 成為主要的政府機構,負責幫助關鍵基礎設施運營商和民用聯邦機構應對重大網絡漏洞并從中恢復,并減輕黑客對運營的影響。
(二)明確范圍,重視物理與網絡空間安全保護
美國在保護關鍵基礎設施物理空間安全的同時更加重視網絡空間安全,并且不斷調整變化關鍵基礎設施的范圍以適應新時期的需要,最終固化形成了16個美國關鍵基礎設施行業范圍。
(三)自頂向下,行成網絡安全保護體系規范
1996年,第一個針對關鍵基礎設施的行政令,13010號行政令拉開了對關鍵基礎設備保護的序幕。2013年3636號行政令《增強關鍵基礎設施網絡安全》提出網絡安全已成為關鍵基礎設施保護的重點,應當長期鞏固關鍵基礎設施的安全性和彈性能力。2015年頒布《網絡安全法》,明確了國土安全部在網絡安全領域的主責地位。2016年《網絡安全國家行動計劃》,要求加強公共和私營部門的網絡安全合作,制定網絡安全框架以提高關鍵基礎設施網絡安全。2018年NIST發布新的《關鍵基礎設施網絡安全改進框架》V1.1版本,提出了自我風險評估、供應鏈安全、認證授權、漏洞管理等方面框架要求,為關鍵基礎設施提供了更細粒度的指導。
通過發布《2015網絡安全法》、《2016網絡安全國家行動計劃》《2018設施網絡安全改進框架》《2022網絡安全增強法》等,美國構建了一個自頂向下的以國土安全部為主責部門、以風險評估管控為準則、以公私合作信息共享為基礎的關鍵基礎設施保護體系規范。
三
結 語
前事不忘,后事之師。這次俄烏之間的網絡戰爭給了我們很多啟發,美國此刻“加急”一致通過《網絡安全增強法》以推動適應網絡安全態勢現代化的需要。在國際糾紛日益激烈的今天,中國龐大的關鍵基礎設施也同樣面臨著各種各樣的網絡攻擊威脅,全力提升關鍵基礎設施安全保護能力,掌握更加先進的技術,加強網絡安全人才教育與培訓考核,提升關鍵信息基礎設施人才技術與管理能力勢在必行。
另方面近年來,我國也持續在重要行業和領域加大網絡安全保障建設的投入,發布《中華人民共和國網絡安全法》,《關鍵信息基礎設施安全保護條例》也于2021年9月1日起正式施行,但是關鍵信息基礎設施的具體保護范圍也有待進一步明晰, 建議借鑒美國經驗對極其重要的關鍵基礎設施劃分保護范圍,明確對應責任機構,規定強制性的監管義務和標準。從美國《關鍵基礎設施網絡事件報告》最重要的改革措施看出對關鍵基礎設施安全事件響應精準及時的重要性,而我國也可能存在政府職能部門、科研機構、教育機構、骨干企業、測評機構之間在關鍵基礎設施保護體系的協調配合不夠流暢的情況,建議通過網絡安全測評、動態演練、逐步優化,提升關鍵基礎設施動態防護水平的同時,改善政府、企業、測評機構之間的溝通協調,形成言簡意賅的“上傳下達”的機制,能及時發現、完整響應、緩解并提醒關鍵基礎設施相關人員注意正在發生以及即將發生的攻擊。
