网络和信息系统安全 | 美国通过"网络事件报告法"
编者按:
此前,本公号发表过的关于保护网络和信息系统安全的相关文章包括:
今天和大家分享的是美国总统拜登日前签署并正式成为法律的“2022年关键基础设施网络事件报告法”(the
Cyber Incident Reporting for Critical Infrastructure Act of
2022,简称"网络事件报告法")。公号君编译相关情况,与大家分享。
在拜登总统于3月15日签署的《2022年综合拨款法案》中,《2022年关键基础设施网络事件报告法》得以通过,并提出了新的数据泄露报告要求。这项新规定进一步推动了联邦政府改善国家网络安全的努力,至少部分是由Colonial
Pipeline网络攻击和SolarWinds攻击引发的,该攻击使东海岸的天然气流通中断数日。美国国会和总统在制定这项法律时,很可能也考虑到了俄罗斯因在乌克兰的战争而不断增加的网络攻击的威胁。
简而言之,该法要求关键基础设施领域的某些实体向美国国土安全部(DHS)报告:
法案所规定的网络事件,在不迟于法案所管辖的实体有理由相信事件发生后的72小时,以及
因勒索软件攻击而在支付赎金后24小时内支付的任何赎金(即使勒索软件攻击不属于前一点中要报告的网络事件)
如果有大量新的或不同的信息,以及在法案所管辖的实体通知DHS事件已经结束并已完全缓解和解决网络事件之前,也需要补充报告。此外,法案所管辖的实体必须根据网络安全和基础设施安全局局长(CISA)发布的规则,留存与法案所规定的网络事件和赎金支付有关的信息。
这些要求的生效日期,以及报告的时间、方式和形式,以及其他项目,将在CISA局长发布的规则中规定。局长有24个月的时间来发布拟议的规则制定通知,之后有18个月的时间来发布最终规则。
具体来说,:
法案所管辖的实体:该法涵盖了关键基础设施部门(即总统政策指令21,Presidential Policy Directive 21所定义的)中的符合CISA局长所确定的定义的实体。这些部门的包括关键制造业、能源、金融服务、食品和农业、医疗保健、信息技术和运输。在进一步定义覆盖实体时,CISA局长将考虑一些因素,如损害一个实体可能导致的国家和经济安全的后果,该实体是否是恶意网络行为者的目标,以及进入这样一个实体是否能够破坏关键基础设施。
法案所规定的网络事件:根据该法案,将要求对 "法案所规定的网络事件"进行报告。部分借用《2002年国土安全法》第二十二章第2209(a)(4)条,该法规定的网络事件一般是指在没有合法授权的情况下,危害信息系统或信息系统信息的完整性、保密性或可用性的事件。根据该法,网络事件必须是一个由CISA局长进一步定义的法案所管辖的实体所经历的"重大网络事件",才能被涵盖。
信息系统:信息系统是指 "为收集、处理、维护、使用、共享、传播或处置信息而组织的一套离散的信息资源",其中包括工业控制系统,如监督控制和数据采集系统、分布式控制系统和可编程逻辑控制器。
赎金支付:赎金支付是指在任何时候作为赎金交付的与勒索软件攻击有关的任何金钱或其他财产或资产,包括虚拟货币,或其任何部分的传输。
法案所规定的网络事件的报告需要包括:
对法案所规定的网络事件的描述,包括:
受影响的信息系统、网络或设备的识别和功能描述,这些系统、网络或设备已经或有理由相信已经受到影响。
描述未经授权的访问,导致受影响的信息系统或网络的机密性、完整性或可用性的严重损失,或业务或工业运作的中断。
此类事件的估计日期范围;以及
对法案所管辖的实体的影响。
描述被利用的漏洞和已实施的安全防御措施,以及用于实施法案所规定的网络事件的战术、技术和程序(如适用)。
有理由相信应对该网络事件负责的每个行为者的身份或联系信息(如适用)。
如果适用的话,被认为或有理由认为被未经授权的人访问或获取的信息类别。
明确识别受影响的法案所管辖的实体的名称和其他信息,包括(如适用)该实体的注册或组建国家、商号、法定名称或其他标识符。
法案所管辖的实体的联系信息,或在适用的情况下,覆盖实体的授权服务供应商。
赎金支付报告也需要类似信息,包括
(i) 赎金支付要求,包括所要求的虚拟货币或其他商品的类型(如适用),(ii) 赎金支付指示,包括有关支付地点的信息(如适用),以及(iii)
赎金支付的金额。法案所管辖的实体可以使用第三方,如事件响应公司、保险商或服务提供商来提交这些报告,但这并不免除法案所管辖的实体的报告义务。
国土安全部的国家网络安全和通信集成中心(National Cybersecurity and Communications Integration Center,NCCIC)负责开展各种活动,根据该法接收和分析报告。这些活动包括:
评估网络事件对公众健康和安全的潜在影响。
与适当的联邦部门和机构协调和分享信息,以确定和跟踪赎金支付,包括那些使用虚拟货币的赎金。
在自愿的基础上,促进相关关键基础设施所有者和经营者之间及时分享与法案所规定的网络事件和赎金支付有关的信息,特别是与正在发生的网络威胁或安全漏洞有关的信息;
以及如果涉及的网络事件也符合重大网络事件的定义,例如,对有关事件的细节进行审查,并传播预防或减轻未来类似事件的方法。重大网络事件是指国土安全部部长认为可能会对美国的国家安全利益、外交关系或经济,或对美国人民的公众信心、公民自由或公共健康和安全造成明显损害的网络事件或一组相关的网络事件。
该法还对法案所规定的网络事件和赎金支付报告中的信息提供了若干保护。例如,根据该法,此类报告中包含的信息将根据其他联邦法律为保护个人信息而制定的程序进行保留、使用和传播,并以保护个人信息免遭未经授权的使用或未经授权的披露。此外,一般来说,联邦、州、地方或部落政府实体都不得使用该法规定的此类报告中的信息来监管,包括通过执法行动来监管支付赎金的承保实体或实体的活动。这种执法的排除并不适用于政府实体明确允许实体向该机构提交的报告,以履行监管报告义务。该法还禁止因提交此类报告而提出或维持诉讼理由。此外,法案所规定的网络事件和赎金支付的报告将:被视为法案所管辖的实体的商业、财务和专有信息,如果法案所管辖的实体这样指定。
根据联邦《信息自由法》以及类似的州、部落或地方法律,免于披露。
不构成对法律规定的任何适用特权或保护的放弃,包括商业秘密保护;以及
不受任何联邦机构或部门的规则或任何关于与决策官员单方面沟通的司法理论的约束。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
关于欧盟技术主权相关举措的翻译和分析:
中国个人信息保护立法的相关文章包括:
《网络数据安全管理条例(征求意见稿)》系列文章:
《数据安全法》的相关文章包括:
关于健康医疗数据方面的文章有:
关于人工智能安全和监管,本公号发布过以下文章:
关于中美与国家安全相关的审查机制,本公号发布过以下文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
关于数据执法跨境调取的相关文章:
业务场景中的数据跨境流动的文章如下:
数字贸易专题的系列文章有:
行为定向广告(behavioral
targeting
advertising)系列的文章包括:
关于数据要素治理的相关文章包括:
人脸识别系列文章: