CISA发布447页的网络事件报告规则草案

美国最高网络安全机构——网络安全和基础设施安全局（CISA）近日发布了一份长达447页的新规则草案，旨在规范关键基础设施组织向联邦政府报告网络攻击的程序。这份草案依据《关键基础设施网络事件报告法》（CIRCIA）制定，并已公示于《联邦公报》，邀请公众在指定期间提出意见和建议。

背景与目标

CIRCIA于2022年获得通过，旨在强化政府对网络事件及勒索软件支付的监测能力，以提升美国关键基础设施的安全防护。国土安全部部长亚历杭德罗·马约卡斯强调，这些报告将有助于CISA和其他相关部门更有效地应对网络事件，识别关键设施中的薄弱环节，及时发现趋势，为受害者提供援助，并迅速与潜在受害者共享信息，从而降低整体网络风险。

报告要求与覆盖范围

根据CIRCIA，特定关键基础设施组织须在遭遇网络事件后的72小时内向政府报告，并在支付勒索软件款项后的24小时内进行汇报。涉及的事件包括对组织运营、国家安全、公共健康或安全产生重大损害或构成严重威胁的情况。CISA已确定16个关键领域，包括制造业、能源、金融、医疗、交通和水务等行业。

保密与成本

CISA明确指出，这些报告将受到严格保密，不受公开披露法约束，以保护报告者的敏感信息。预计未来11年内执行该规则的总成本约为26亿美元，年均2.3亿美元，其中行业承担14亿美元，联邦政府承担12亿美元。预计将有超过316,000个实体受影响，预计未来十年提交约210,525份CIRCIA报告。

机构准备与资源需求

尽管CISA已申请额外资金（如2025财年的1.16亿美元）以扩充事件报告办公室的人力，但目前拨款仍低于预期。尽管如此，CISA表示已具备一定的处理能力，因部分行业（如管道、铁路、航空等）已存在向CISA报告特定事件的规定。CISA主任Jen Easterly视此规则为“游戏规则改变者”，有助于公私部门协同应对特定网络威胁。

公众参与与反馈

草案公示后，公众有60天的窗口期提交对规则的意见。CISA将在此基础上修订规则，并计划在接下来18个月内正式发布。草案中大量篇幅讨论了豁免情况，CISA强调将根据收到的信息采取有价值的动作，而非仅仅增加报告负担。

专家观点与质疑

面对草案，一些网络安全专家表达了复杂的情绪。前CISA新冠病毒特别工作组负责人Josh Corman指出，草案对大型组织的关注可能忽视了小型企业在关键行业中所扮演的角色，同时对豁免情况的复杂规定可能削弱立法初衷。他呼吁关注小型但至关重要的生命线型企业，认为即使小型企业也能履行报告义务，不应过度复杂化规则或剥夺其可见性与风险降低能力。

Corman对草案中设定的组织规模门槛（如仅覆盖100张床位以上的医院）表示担忧，认为这可能导致大量医疗机构被排除在外，不利于全面防范勒索软件团伙可能针对小型医疗机构的攻击。他建议对不同规模的组织实行分层报告制度，确保小规模组织也承担相应但简化版的报告责任。

另一位专家Chris Warner对草案中追踪勒索软件支付的规定表示赞赏，但也质疑若关键基础设施组织未报告事件（如已自行遏制或停止），而在后续被勒索软件团伙或媒体曝光时，应如何处理。此外，Scott Algeier（IT-ISAC执行董事）与John Gallagher（Viakoo副总裁）分别关注了合规性要求对资源分配的影响、关键基础设施组织的明确定义以及网络保险领域的应用。

时间线与数据时效性

Corman还批评了草案中引用的2015年数据和信息来界定特定行业规模和领先公司，认为这无法准确反映过去近十年间行业可能发生的重大变化。他主张应基于对关键基础设施潜在破坏程度而非组织规模来设定报告门槛，尤其是关乎水、食品、能源等直接影响民生的领域。他同时对规则制定与实施的滞后性表示不满，指出CIRCIA在Colonial Pipeline勒索软件攻击后三年才取得实质性进展，而近期曝光的“伏特台风”事件凸显了加快这一进程的紧迫性。

美国网络安全监管迈出了重要一步，CISA发布的网络攻击报告规则草案旨在提升关键基础设施保护水平，但同时也面临诸多挑战与争议，包括豁免条款的合理设置、小型关键企业的覆盖范围、资源分配的有效性、数据时效性以及规则实施的紧迫性等。在接下来的公众评议阶段，这些议题将成为各方关注与讨论的核心，以期最终形成更为完善、适应当前网络安全形势的法规。

下载：