关键信息基础设施事件报告是有效应对网络安全事件、及时化解网络安全风险,保障关键信息基础设施安全稳定运行的重要环节,已成为各国强化关键信息基础设施保护制度的共同关注点。当前,我国《关键信息基础设施安全保护条例》(以下简称《条例》)已施行两年,关键信息基础设施安全保护领域的第一项国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)也于 2023 年 5 月正式施行。作为《条例》确立的一项重要制度,现阶段如何将事件报告义务落到实处,确保其在关键信息基础设施安全保护中发挥应有作用值得思考。
一、强化关键基础设施实体的事件报告义务成为各国立法普遍关注
近年来,主要国家和地区新发布或修订的网络安全立法中均将事件报告义务作为核心内容写入。例如,美国《2022 年关键基础设施网络事件报告法》对关键基础设施事件报告要求进行单独立法。欧盟新修订的 NIS2 指令将事件处理列为实体(包括基本实体和重要实体)在其网络安全风险管理政策中必须解决的十大关键要素之一。澳大利亚《2021 年安全立法修正案(关键基础设施)法》为关键基础设施资产的负责实体引入强制性事件报告义务。上述立法在事件报告方面主要呈现以下特点:
一是收紧报告期限要求,建立分步式报告方式。快速响应、及时处置是有效应对网络安全事件、防范危害扩大的关键,因此确保监管部门及时掌握事件情况成为制度设计考虑的首要因素,其中12 小时、24 小时和 72 小时成为普遍关注的时间点。例如,澳大利亚要求实体意识到网络安全事件已经或正在发生,并已经或正在对关键基础设施资产可用性产生“重大影响”的应在 12 小时内报告;如果仅产生“相关影响”应在 72 小时内报告。美国要求实体在有合理理由相信网络事件已经发生后的 72 小时内报告,或者在遭受勒索攻击并支付赎金后的 24 小时内报告。当有新的实质性进展时及时提交更新或补充报告,直到事件结束并得到完全缓解和恢复,此类报告并未限制时限。NIS2 指令建立了分步式的事件报告方式,分别是在发现重大事件后 24 小时内提交早期预警,说明事件是否由非法行为引起以及是否会产生跨境影响;72 小时内提交事件通知,更新预警信息并提交初步评估情况;以及 1 个月内提交最终报告,对事件影响、引发事件的威胁类型、采取的缓解措施等内容进行详细描述。欧盟表示此种制度设计一方面是需要事件快速报告以避免影响范围扩大,另一方面也需要对事件的深入报告以便从单一事件中汲取经验教训。
二是限定报告事件类型,聚焦重大网络安全风险。在上述立法中,并非发生的所有网络安全事件均需向监管部门报告,主要聚焦在特定或重大网络安全事件。NIS2 指令仅要求实体报告“重大事件”并给出“重大事件”的判断因素,即该事件已经造成或有能力造成实体服务严重中断或经济损失;或该事件已经或有能力通过造成相当大的实质性或非实质性损害而影响其他自然人或法人。美国在立法中并未对应当报告的“网络事件”范围进行直接限定,而是授权网络安全和基础设施安全局(CISA)后续制定实施细则,在实施细则中解决网络事件的定义问题。尽管如此,美国在立法依旧划定了底线要求,指出“会对信息系统或网络的机密性、完整性造成重大损失,或对操作系统和程序安全性和韧性造成严重影响”的事件必须列入报告范围。
三是延伸事件报告效能,推动良性互动提升防御能力。为促进实体和监管部门形成良性互动,提高实体主动报告的积极性,当前的事件报告制度并非仅强调实体一方应履行的义务,同时要求政府为实体提供必要支持,为实体报告事件提供便捷方式,帮助实体对事件进行处置。例如,NIS2 指令要求成员国提供包括单一入口、自动化系统、在线表格、用户友好界面、专用平台等手段,减轻实体报告事件的行政负担。计算机安全事件应急响应小组(CSIRT)或主管当局在收到实体提交的早期预警后 24 小时内应当对实体进行回应,包括对事件的初步反馈以及应实体要求就可采取的缓解措施提供指导,必要时还应提供技术支持。此外,为最大化事件报告价值,制度设计也不局限于对报告的单一事件进行处置,而是在此基础上强调政府部门应当对报告的所有事件进行挖掘,分析攻击手段,排查同类风险,提升防御能力。例如,美国要求国家网络安全和通信集成中心对提交的所有事件信息进行汇总、分析,评估安全控制的有效性并识别恶意行为者为突破这些控制而采取的策略;同时审查重大网络事件的细节,以确定和披露未来能够预防类似事件的方法。
四是加大惩戒力度,为实现有效监管提供支撑。制度的充分落实是组织主动合规与政府有效监管共同助推的结果,为确保实体履行事件报告义务,同时为政府监管提供法律依据,上述立法均为违反事件报告义务设置法律责任。在美国的立法中,CISA 被授权在发现实体存在应报告而未报告的情形时,可以要求实体提供相关信息,如果实体未在 72 小时内予以充分回应,CISA 可以对实体发出传票强制披露信息、提交司法部长提起诉讼,实体可能构成藐视法庭罪。澳大利亚为不履行事件报告义务的行为设定罚款,同时规定如果实体不愿意或无法解决网络安全事件,授权政府可以指示实体采取必要措施以应对网络安全事件。作为最后手段,政府还可以直接控制资产。NIS2 指令修订过程中,欧盟表示成员国普遍不愿意对未采取安全措施或报告事件的实体进行处罚,这不利于提高实体网络韧性。鉴于此,NIS2 指令要求成员国应当确保其主管当局有权要求实体按照规定的期限和要求履行事件报告的义务。同时专门针对不履行事件报告义务等行为设定与上一财政年度全球年营业额相挂钩的罚款数额。
我国始终高度重视网络安全事件的报告要求。在网络安全领域,我国的第一部行政法规《计算机信息系统安全保护条例》中就明确提出了计算机信息系统中发生案件的报告要求。当前,我国已基本建立了以《网络安全法》《数据安全法》《个人信息保护法》为核心的网络安全法治体系。这三部法律中均规定了对发生网络、数据和个人信息安全事件的报告或通知义务,但多为原则性规定。
《条例》明确了关键信息基础设施领域安全事件的双层报告机制。根据《条例》第十八条的规定,当关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门和公安机关报告。而当发生特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门和国务院公安部门报告。从规定内容来看,《条例》首先扩大了报告范围。除发生网络安全事件外,发现网络安全威胁也应当进行报告。其次,明确了运营者应当报告的是重大或特别重大的网络安全事件和威胁,并列举了几类特别重大网络安全事件和威胁类型,其中不仅考虑到运行安全,也将重要数据泄露、较大规模个人信息泄露等涉数据安全因素一并考虑在内;再次明确应当报告的部门是保护工作部门和公安机关,涉及特别重大网络安全事件和威胁的由保护工作部门向国家网信部门和国务院公安部门报告。最后,要求运营者“按照有关规定”进行报告,也为后续制定更加细化的规则预留空间。
《信息安全技术 关键信息基础设施安全保护要求》则更加着眼运营者内部的情况,即在发生安全事件时,运营者应当向其专门的安全管理机构报告,并通报可能影响的内部部门以及供应链上的其他组织。然而对于如何向保护工作部门、公安机关等主管监管部门进行报告并未给出可操作性指引。
保护工作部门制定的本行业、本领域特殊性规定在关键信息基础设施安全保护工作中发挥着重要作用。目前,公路水路、电力、金融、水利等行业领域已发布专门的关键信息基础设施安全保护管理办法或将关键信息基础设施保护作为重要内容一并写入网络安全管理办法中,但有关事件报告的规定仍较为笼统。从重要行业领域网络安全事件,乃至突发事件应急处置相关要求的梳理发现,可适用于该行业领域关键信息基础设施运营者事件报告的规定大致分为三类:一是专门的网络安全事件报告规定,如《证券期货业网络安全事件报告与调查处理办法》;二是在网络安全事件应急预案中规定事件报告要求,如《水利网络安全事件应急预案》;三是将网络安全事件作为应报告的突发事件类型之一。如《银行业保险业突发事件信息报告办法》将重要信息系统受到网络攻击造成重大社会影响等情形列入银行业保险业突发事件之一。
三、推动我国关键信息基础设施事件报告制度落地的思考
加快落实关键信息基础设施事件报告制度不仅是全球网络安全保护的共同趋势,更是深化我国关键信息基础设施安全保护的必然要求。建立以可操作性规则为指引,以运营者合规体系构建为核心,多元主体共同参与的关键信息基础设施事件报告机制应是后续开展工作的重要内容。
制定关键信息基础设施运营者向网信部门、公安机关、保护工作部门报告事件的细化规则,为运营者提供明确的步骤指引。一方面,以及时动态掌握网络安全威胁为制度设计核心,细化报告时限要求、报告的事件类型、报告方式和途径、报告内容等。结合《条例》规定和《国家网络安全事件应急预案》《信息安全技术 网络安全事件分类分级指南》等进一步明确重大及特别重大网络安全事件/威胁类型。建立分步式的事件预警——阶段性进展报告——最终分析报告的流程。明确应报告的公安机关层级和报告渠道,鉴于《条例》的规定,由省级人民政府有关部门对关键信息基础设施实施安全保护和监督管理,应考虑要求运营者向省级以上网信部门、公安机关进行事件报告。
另一方面,兼顾运营者合规成本,确保运营者将更多精力用于应对网络安全事件和消除网络安全风险方面。结合当前实践以及《条例》要求,为了提高报告效率、避免重复报告等问题,相关部门制定的事件报告规则应与行业领域内部规定相协调,以达到最优解。同时,要充分发挥已有的国家网络与信息安全信息通报机制以及关键信息基础设施相关安全保护平台在信息通报与共享、事件处置等方面的作用,提供制式的事件报告信息表,以实现“运营者一次报告,相关部门均能知悉”的最优目标。
关键信息基础设施运营者承担着关键信息基础设施安全保护的主体责任。运营者应当意识到,事件报告不仅是应当履行的一项法定义务,更是充分借助国家优势资源,寻求技术支持与协助,避免危害扩大的途径之一。
运营者应当结合法律法规、国家标准以及本行业领域的特殊要求,制定内部网络安全事件报告制度及操作流程,制定与不同级别的网络安全事件相适应的应急预案。同时,需要明确负责事件报告的关键岗位,确保事件报告责任落实到具体人员。当发生网络安全事件或出现网络安全威胁时,运营者应立即进行验证核实,结合法律法规的要求,判断是否构成重大或特别重大网络安全事件或网络安全威胁,启动相应应急预案,并按照要求向有关部门报告,协助配合相关部门开展案事件调查。
关键信息基础设施安全事关国家安全,需要包括网信部门、公安机关、保护工作部门、运营者、网络产品和服务提供者等在内的多元主体共同参与,确保关键信息基础设施安全。
一方面,《条例》明确规定了国家网信部门统筹协调、国务院公安部门指导监督以及保护工作部门负责安全保护和监督管理等职责,具体涉及网络安全信息共享、监测预警、事件处置、检查检测等诸多方面。各部门在《条例》施行后落实相关职责,已取得显著成效。后续应紧扣运营者事件报告环节,为运营者提供技术支持与协助,最大化事件报告效能,发现可能影响不特定多数主体的网络安全威胁进行预警通报,视情开展同类风险排查,研究有效预防同类风险的应对措施。强化行政执法力度,在对运营者开展监督检查时将发生网络安全事件或发现网络安全威胁后是否履行相应报告义务作为重要检查内容之一。同时,查明相关主体责任,加强涉关键信息基础设施相关违法犯罪行为的打击力度。
另一方面,充分发挥安全研究人员、网络安全服务机构等主体在威胁发现、事件应急处置方面的作用,充分借助渗透测试、网络攻防实战演习等手段发现潜在安全风险。在供应链安全风险日益凸显的当下,在《网络安全法》《网络产品安全漏洞管理规定》等法律法规对网络产品或服务提供者赋予一定报告义务的基础上,运营者可通过合同、承诺书等形式对网络产品和服务提供者的报告责任进行再次强调。在应急预案、应急演练、事件应急处置等环节也应将网络产品和服务提供者的参与考虑在内,共同保障关键信息基础设施安全稳定运行。
![关键信息基础设施事件报告制度要求及思考]( "关键信息基础设施事件报告制度要求及思考")
原文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施事件报告制度要求及思考
评论