从美国输油管道勒索攻击看关键信息基础设施保护
The following article is from 中国信息安全 Author 梁思雨
美国输油管道勒索攻击事件敲响全球关键信息基础设施保护警钟。当前,勒索攻击已成为各国网络安全面临的主要威胁,并呈现向关键信息基础设施领域蔓延趋势。自2017年WannaCry勒索病毒爆发以来,大规模勒索攻击事件屡屡发生,受害对象、危害后果、赎金要求不断刷新。美国近期发生的成品油供应商科洛尼尔公司遭遇勒索攻击一事,因触发所谓“国家紧急状态”而备受关注。
事件发生后,美国反思现有关键基础设施保护的不足,密集出台或推动十余部政策立法,力图改变被动局面。近日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式发布,推动我国进入关键信息基础设施保护新阶段。贯彻落实《条例》,充分应对勒索攻击等新兴网络安全威胁,应秉持积极防御理念,强化风险识别和应急处置,重视数据安全和供应链安全,加强勒索攻击案件打击,综合提升关键信息基础设施安全防护能力。
一、美国输油管道勒索攻击事件的现实应对
2021年5月7日,美国最主要的成品油供应商之一科洛尼尔公司(Colonial Pipeline)遭遇勒索攻击,导致美国东海岸地区45%的燃油供应受到影响(以下简称“输油管道勒索攻击事件”)。为有效应对和缓解该事件造成的影响,科洛尼尔公司及美国联邦政府多部门先后采取多项措施。
在应急处置方面,鉴于攻击者在获得对科洛尼尔公司网络的初始访问权限后针对IT网络部署勒索软件,为应对攻击,该公司立即启动应急响应,主动断开某些OT系统以缓解事件影响。但该公司首席执行官随后承认已向黑客支付价值440万美元的比特币赎金。
5月11日,美国白宫就此事件发布情况说明,表示拜登政府已发动全政府努力解决此事件,确保关键能源供应链安全。白宫成立机构间响应小组,以监测和缓解事件影响,确保燃料持续流向受影响地区。多部门发布临时豁免,允许多个州暂时使用不合规的燃料,并为燃料运输提供更大的灵活性。同时,国土安全部下辖的网络安全和基础设施安全局(CISA)还与能源部合作,并与行业沟通,就关键基础设施保护、减少勒索攻击事件发生提出建议。
在犯罪打击方面,5月10日,FBI 确认黑客组织DarkSide实施了此次攻击。5月13日,DarkSide称,由于执法行动,他们目前已经无法通过安全外壳协议(SSH)访问其基础设施,包括数据泄露服务器、赎金支付服务器、主机界面等;由于来自美国的压力,DarkSide将终止勒索活动。6月7日,美国司法部表示已追回科洛尼尔公司支付给DarkSide价值约230万美元的比特币赎金。
二、美国对输油管道勒索攻击事件的立法反思
事件发生后,白宫表示美国近90%的关键基础设施由私营部门拥有或运营,但目前美国在关键基础设施网络安全保护方面缺乏战略层面的协调一致的要求,现有各部门和州一级的相关立法虽在零碎地调整,但不足以支撑美国应对当前关键基础设施面临的威胁,亟需通过立法改变这一局面。对此,联邦政府、国会采取一系列立法措施,涉及总统行政令、备忘录、部门指令以及十余部国会立法提案,加强关键基础设施保护和勒索攻击打击。
1. 立法响应一是联邦政府层面。5月12日,拜登签署第14028号行政令《提升国家网络安全的行政令》(以下简称“行政令”),明确政府将网络事件的预防、检测、评估和补救作为重中之重,所有联邦信息系统都应满足或超过网络安全标准和要求。7月 28日,拜登再次签署《改善关键基础设施控制系统网络安全的国家安全备忘录》,指出关键基础设施控制和运营系统面临的网络安全威胁是当前最重要和日益严重的问题之一。
二是部门层面。美国运输安全管理局(TSA)发布两项安全指令(以下简称“TSA 指令”),要求关键管道所有者和运营商报告已确认和潜在的网络安全事件,制定并实施网络安全应急恢复计划,对当前网络安全实践进行审查并采取补救措施等。
三是国会层面。事件发生后,国会正在推动的相关立法提案包括《2021年美国基础设施防御法案》《管道安全法案》《2021年网络事件通知法案》《2021年供应链安全培训法案》《研究网络攻击应对行为法案》《国际网络犯罪预防法案》等十余部,涉及监管职责、信息共享、应急响应、安全评估、供应链安全、关键基础设施犯罪、网络攻击反制等诸多内容,试图从整体关键基础设施及能源、电力等细分领域全面提升安全保障能力。
2. 立法关切一是加强风险识别。有提案认为,美国联邦政府缺乏充足的网络安全准备措施,且没有用于投资关键领域的基金,使得政府无法将其对风险的理解纳入战略、规划和行动,以推动实现关键基础设施安全的核心目标,应从根本上改变联邦政府在网络安全方面的投资方式,将投资重点从被动的网络安全灾难支出转向风险驱动,主动投资于加强网络弹性。同时,有提案提出制定国家网络演习计划,该计划应模拟成政府或关键基础设施因网络安全事件导致部分或全部丧失能力的场景。由 CISA建立基于云的信息共享环境,整合联邦政府网络安全风险信息,帮助其全面了解对联邦政府和关键基础设施构成的网络威胁。
二是加强事件报告。行政令要求与联邦机构签订合同的ICT提供商在发现提供给联邦机构的产品、服务及支持系统发生网络安全事件时,必须立即向联邦机构上报。有提案提出,为违反事件报告义务的行为配备处罚措施,提出被认为对美国国家安全至关重要的联邦机构、联邦承包商和组织在发现安全事件后应在24小时内向 CISA报告。对于正在或已经违反该报告要求的,可视情况对该实体按日处以不超过上一年总收入0.5%的民事罚款。TSA指令要求关键管道所有者和运营商指定一名7*24小时待命的网络安全协调员,报告已发生和潜在的安全事件,并制定实施网络安全应急和恢复计划。
三是加强供应链管理。行政令认为联邦政府所使用软件的安全性对联邦政府履行关键职能至关重要,并由此提出“关键软件”概念,要求联邦政府必须提高软件供应链的安全性和完整性,优先解决“关键软件”问题。在NIST依据行政令要求发布的白皮书中,建议在行政令最初实施阶段将“关键软件”定义为侧重于具有关键安全功能或在受到威胁时会造成重大危害的独立、本地软件,后续实施阶段再涉及其他类别的软件。有提案提出,为关键信息和通信技术建立并运营自愿的国家网络安全认证和标签计划,创建标准化培训项目,帮助关键基础设施所有者和运营者更好地了解使用的技术和产品的安全性。
四是加强案件打击。司法部提交的《关于勒索软件和数字勒索调查和案件的指导意见》备忘录提出必须强化和集中内部对勒索攻击团伙的调查和起诉,将勒索攻击、数字领域敲诈勒索,以及反病毒服务、僵尸网络、加密货币等为勒索攻击提供支撑的基础设施均纳入打击范围。此外,多部提案提议修订《计算机欺诈和滥用法》,提出在第1030条“与计算机有关的欺诈及其相关活动”后新增一条“严重损害关键基础设施计算机”,将“明知或企图对关键基础设施计算机运营造成实质性损害”的行为认定为犯罪,处以罚款和/或不超过20年的监禁。也有提案提出,应研究允许私营实体在指定联邦机构的监管下,对非法网络入侵采取反击行动。
三、对我国关键信息基础设施保护的启示
《网络安全法》确立关键信息基础设施保护制度的基本框架,从预防、控制、打击三个维度明确保护要求。《网络安全法》施行以来,网信、公安以及行业主管监管部门积极推进关键信息基础设施识别认定、安全保护和监督检查等工作,并以国家标准切入选取部分重点行业和领域率先开展安全保护试点。2020年,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,明确由公安机关指导监督关键信息基础设施安全保护工作。近期公布的《党委(党组)网络安全工作责任制实施办法》,将关键信息基础设施遭遇网络攻击的特定情形认定为严重危害网络安全的行为,要求逐级倒查,追究责任。2021年8月,历时五年制定的《关键信息基础设施安全保护条例》正式公布。《条例》是对前期我国在关键信息基础设施保护方面尝试与探索的经验总结,通过优化监管体制、调整识别规则、强化安全要求,为后续贯彻落实关键信息基础设施安全保护工作提供指引。
在此次输油管道勒索攻击事件中,美国在事件报告、供应链安全、案件打击方面的处置及立法反思,对在《条例》实施后落实我国关键信息基础设施保护制度具有参考价值。
1. 坚持积极防御,加强风险识别勒索攻击的非对称性持续加剧。美国诸多提案强调事前风险识别和信息共享,提出将联邦投资的重点从被动的灾难恢复转向风险驱动的主动投资。我国关键信息基础设施保护应强化积极防御理念,充分理解和认识关键信息基础设施的“关键性”。
《网络安全法》和《条例》均强调建立监测预警机制。《条例》进一步将开展本单位网络安全监测、检测和风险评估的职责赋予专门安全管理机构。可借助运营者每年至少进行一次的网络安全检测和风险评估,及有关部门的网络安全检查检测工作,加强风险识别,发挥网络安全服务机构、第三方安全平台、信息安全测试员在风险识别方面的作用,重视部署物联网、人工智能等新技术新应用可能引入的风险及其在安全保障方面的价值,切实用好业已建立的应急演练、监测预警和信息通报机制。
2. 加强应急处置,多部门形成合力输油管道勒索攻击事件发生后,科洛尼尔公司、美国联邦政府交通、能源、国土安全、FBI等多部门共同参与处置,确保能源供应,消解事件影响。公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》已明确要求公安机关、网络安全行业主管部门等主体依法履行职责,形成网络安全保护工作合力。
面对网络安全事件,公安机关、保护工作部门、关键信息基础设施运营者、可能涉及的网络产品和服务提供者等主体应在各自职权和义务范围内参与事件处置,协同联动。保护工作部门应采取措施,维持关键信息基础设施正常运转,优先保障能源、电信等领域安全运行,最小化事件影响。同时,发挥公安机关、CNCERT在内的应急响应中心等部门在预警通报、追踪溯源方面的能力。《网络安全法》第五十七条、第五十八条在事件处置过程中的适用。运营者应切实承担主体责任,落实网络安全事件/威胁报告义务,用好现有事件分级及应急响应相关规定,将其转化为自身网络安全事件应对能力。
3. 重视数据安全,衔接分类分级对数据进行加密、以披露数据相威胁是勒索攻击的常见威胁手段。作为国家基础性战略性资源,数据安全已成为关键信息基础设施保护的重要环节,网络设施、信息系统等遭遇数据泄露可能带来的危害程度也是影响关键信息基础设施认定的依据之一。数据安全领域的基础性立法《数据安全法》明确我国建立数据分类分级保护制度,在此基础上提出“重要数据”“国家核心数据”概念,并通过第三十一条再次明确关键信息基础设施运营者的重要数据出境安全管理要求。
《网络安全法》的网络安全等级保护制度、关键信息基础设施保护制度与《数据安全法》的数据分级分类、重要数据、国家核心数据均是分等级保护、突出重点理念的体现。关键信息基础设施领域需关注《数据安全法》下数据分类分级、重要数据识别与保护要求,以《条例》要求的专门安全管理机构建立健全个人信息和数据安全保护制度为切入落实运营者主体责任,将保障关键信息基础设施安全作为保障数据安全的途径之一,推动关键信息基础设施保护中的数据安全从静态安全走向动态安全。
4. 延伸安全视角,重视供应链安全鉴于单次供应链攻击所产生的级联效应可能造成广泛影响,供应链攻击已成为网络安全领域不容忽视的安全问题之一。太阳风(SolarWinds)供应链攻击事件,以及美国近期发生的利用托管服务提供商Kaseya对其供应链上的客户进行勒索攻击的事件均是例证。美国在行政令和诸多提案中均强调加强供应链安全,帮助关键基础设施运营者识别和管理供应链风险。
为全面保护关键信息基础设施安全,应延伸安全视角,将供应链上各主体纳入关键信息基础设施保护范畴。完善制定网络产品和服务管理办法,落实网络安全审查、云计算服务安全评估、网络产品安全漏洞管理、国家强制性标准《网络关键设备安全通用要求》等制度。优先采购安全可信的网络产品和服务,将网络安全保障和抗风险能力作为考量因素之一;建立并维护供应商清单,厘清直接和间接供应商,加强对供应链人员及机构管理,明确技术支持和安全保密义务,要求及时报告网络安全事件及风险,将供应商纳入网络安全事件应急响应机制。同时,加快推进关键信息基础设施国产化替代,鼓励开发核心技术和底层技术。
5. 强化法律责任,加强案件打击勒索攻击的打击正变得愈加艰难。跨境发动攻击,借助加密货币、加密通信等工具,“勒索软件即服务”模式的盛行使勒索攻击的门槛进一步降低,溯源追踪难度加大。在输油管道勒索攻击事件中,美国通过执法行动摧毁DarkSide服务器,成功追回支付的部分赎金,沉重打击勒索攻击犯罪团伙;同时,在立法提案中提出增加“严重损害关键基础设施计算机”罪名。
《网络安全法》实施以来,我国公安机关通过“净网”等专项行动和日常监督检查持续加强网络安全领域执法,严厉打击网络攻击、网络黑灰产等违法犯罪活动,取得显著成效。《条例》要求公安机关和国家安全机关加强打击针对和利用关键信息基础设施实施的违法犯罪活动。为推动关键信息基础设施领域执法进入新阶段,我国需在罪名认定、打击手段、跨境打击等方面做好准备。
首先,考虑《刑法》现有罪名的覆盖程度,研究增加关键信息基础设施领域的专门罪名,考量现有计算机类型犯罪的法律责任与关键信息基础设施网络安全事件导致的危害后果之间的适配性。其次,我国现行法律没有针对勒索软件的专门性规定,但针对制作传播计算机病毒、敲诈勒索、信息网络技术支持和帮助等危害网络安全方面的法律规定相当完善。灵活运用现有规定和“一案双查”机制,强化行政执法,斩断勒索攻击上下游利益链条。最后,《网络安全法》和《条例》均明确我国有权处置来源于境内外的网络安全风险和威胁;境外主体从事危害我国关键信息基础设施活动,造成严重后果的,我国有权依法追究法律责任,并采取制裁措施。面对跨境勒索攻击,应在推动国际合作,呼吁各国在管辖范围内打击勒索攻击的同时,强化自身能力和潜在威慑力,用好对等制裁措施。
(本文刊登于《中国信息安全》杂志2021年第9期)
公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》