美國新法要求企業遭網攻應限時通報
2022.04.14
瀏覽數
1967
壹、新聞重點
2022年3月11日,美國參議院於3月11日通過了《2022年關鍵基礎設施網路事件報告法》(“Cyber Incident Reporting for Critical Infrastructure Act of 2022”, CIRCIA),並於3月15日由美國總統拜登簽署,正式成為法律。[1]CIRCIA源自《加強美國網路安全法案》(“Strengthening American Cybersecurity Act”, S. 3600),該法案已通過參議院,目的在加強公部門與私營部門的網路安全。而CIRCIA被含括在《2022財年綜合撥款法》(“Consolidated Appropriations Act of 2022”, H.R. 2471)[2]內,於3月15日通過。
新法中要求關鍵基礎設施(critical infrastructures )之所有者(owner)與營運商(operator)必須在網路安全事件72小時內,或在支付勒索軟體(ransomware)款項後24時內,向「國土安全部網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)通報。不過,CIRCIA雖然已通過,事件實際定義與通報規則仍須待CISA在2年內制定,包括關鍵基礎設施範圍、須通報之資訊安全事件以及須涵蓋之事故內容。
貳、安全意涵
一、俄烏情勢與近年網路攻擊關鍵基礎設施加速立法通過
近年美國網路攻擊事件嚴重,美國政府一直討論應加強聯邦網路安全通報程序,特別是 SolarWinds在被俄羅斯駭客入侵事件後(但俄羅斯否認),[3]SolarWinds是美國政府機構與企業廣為使用的網路管理軟體,但實際上受網攻後之影響規模為何,無人能確切掌握,更促進了美國政府想透過聯邦等級資安通報法律的決心。由於美國近年都未能通過類似法律,因此,《2022年關鍵基礎設施網路事件報告法》作為兩黨法案(bipartisan bill)且獲得參議院一致通過,意義重大。
本法這次能順利地快速通過也與2月底開始的俄烏衝突有關,加上美國通過了多項對俄羅斯的制裁,美國總統拜登更公開表示尤其擔心美國企業會遭受俄羅斯更多報復性攻擊,而應更加強化網路防禦。[4]在2021年美國關鍵基礎設施領域的企業或實體(entities)已數次成為重大網路攻擊目標,特別是駭客透過勒索軟體的攻擊,例如對Colonial Pipeline Co.的攻擊導致了美國南部與東海岸部分地區的汽油短缺,該公司在一天內就付了5百萬美元的贖金給駭客,[5]以及全球最大肉品商JBS遭網路攻擊事件,導致全美牛肉加工廠被迫關閉,擾亂了美國的肉類生產與分銷。[6]美國政府意識到這些攻擊對美國所造成的極大影響,故如何在法規與程序上加強美國的網路安全以及保護關鍵基礎設施為近期重要議題,因此,美國公私部門皆應認真面對本法的通報義務及該法將如何影響美國網路安全情勢。
二、新法賦予網安主管機關CISA更多權力並界定範圍
《2022年關鍵基礎設施網路事件報告法》(CIRCIA)授予網路安全主管機關「國土安全部網路安全暨基礎設施安全局」(CISA)相當大的權力,包括制定與施行CIRCIA的實際範圍與適用性的相關法規。CIRCIA要求CISA在必須在24個月內發布初步的規則制定通知(notice of proposed rulemaking),並在那之後的18個月內發布最終規則(final rule),若情況需要,CISA亦可加速其規則之制定。
在適用性的部分,《2022年關鍵基礎設施網路事件報告法》須定義發生哪些網路事件(covered cyber incidents)與哪些支付勒索贖金(covered ransomware payments)的必須回報,以及應涵蓋哪些企業或實體(covered entity)。這部分CIRCIA也將網路安全事件報告義務與被涵蓋的企業或實體之界定交由CISA來決定。CISA最終規章必須考慮以下要件:(A)該實體的破壞或損害可能對國家安全、經濟安全或公共健康與安全造成的後果;(B)該實體可能成為惡意網路攻擊目標的可能性;以及(C)對此類實體的損害、破壞或未經授權的存取,包括獲取敏感的網路安全性漏洞資訊或滲透測試工具或技術,將使關鍵基礎設施可用性受到破壞的程度。
原則上CISA應會廣泛界定需對網路安全事件進行回報的企業與實體之範圍,至少包括《總統政策令21號》(Presidential Policy Directive 21)[7]定義為關鍵基礎設施的16個領域:化學製品、商業設施、通訊、關鍵製造業、水壩、國防工業基地、緊急服務、能源業、金融服務、食品與農業、政府設施、醫療保健與公共衛生、資訊技術、核反應爐、材料和廢物、運輸系統、水與汙水處理系統等領域。
而應回報的內容部分,CISA必須確定網路事件與勒索軟體支付報告所需的具體內容,因此,這些報告必須在適用與可得的範圍內包括以下資訊:
●有關事件或勒索軟體攻擊的描述;
●描述被利用的漏洞和現有的安全防禦措施,以及用於實施網路事件或勒索軟體攻擊的戰術、技巧以及程式;
●應對此類網路事件或勒索軟體攻擊負責的每個行為者相關的任何識別或聯繫資訊;
●對於網路事件,已經證實遭受未經授權的存取或獲取的資訊類別;
●對於勒索軟體的支付,支付贖金的日期、贖金支付要求、贖金支付指示、支付地點以及支付金額的資訊;
●受影響實體的識別資訊;
●受影響實體或該實體的授權代理的聯繫資訊。
參、趨勢研判
一、減少企業或實體受到的影響並鼓勵法律遵循
由於《2022年關鍵基礎設施網路事件報告法》(CIRCIA)目的在於保護美國重要機構與企業的網路安全,有許多條文設計旨在鼓勵法律遵循並提升網路安全事件報告的品質與數量,CIRCIA包含了報告門檻、法律特權(legal privilege)保障、潛在訴訟以及監管限制等規定,這些皆無法透過主管機關CISA以監管方式取代,亦即,為了鼓勵企業或實體遵循網路安全事件報告義務,主管機關不應也不能以報告內容來對付企業或實體,因此在條文中設計許多保護企業或實體機制。包括:
●政府僅能以網路安全為目的使用相關報告(或其他非常有限之目的);
●禁止將勒索軟體支付報告應用於監管相關單位;
●豁免該報告不受資訊自由法、州與地方資訊揭露相關法令之約束;
●報告應被視為該實體的商業、財務的專有資訊(視為自身之資訊);
●報告不應構成對法律規定的任何適用特權或保護的放棄,包括對商業秘密的保護;
●報告的提交不能作為(政府對企業或實體)提起訴訟理由,也不構成訴訟理由本身。
●任何報告,包括僅為準備、起草或提交報告而創建的任何通信或紀錄,不得在任何審判、聽證或其他法律程序中使用,以防止任何聯邦、州或地方法院,以及監管機構將此類資訊作為訴訟證據;
●在進行資訊共用(information sharing)時,CISA將對受害者進行匿名處理;
●保護相關單位免除向聯邦政府提供資訊之責任。
二、如何因應網路攻擊為美國新法重點
現在越來越難判斷網路攻擊事件究竟應被定性為網路犯罪或是國家支持(state-sponsored)的網路攻擊,而在網路攻擊發生後,各國政府要面臨的挑戰除了要判別是「誰」發動的攻擊,確認網路攻擊者的身分有助於確定其目標與動機,但更為重要的是要如何採取有意義的回應(meaningful response)。由於目前在處理網路攻擊方面仍然沒有明確的交戰規則,適用的法律也因網路攻擊的定性可能有所不同,究竟什麼才是合適的因應措施與判斷,往往有爭議。但可確定的是無論是哪種,對國家與人民的傷害與影響都極大。
因此,除了積極調查攻擊者的身份與採取制裁手段,美國政府近年採取更為務實措施,特別是對私人企業而言,如何強化網路安全以及保護相關資產可能更為重要。拜登政府在2021年5月發布了《改善國家網路安全行政命令》(Executive Order on Improving the Nation’s Cybersecurity)[8]旨在加強與聯邦政府合作廠商的網路安全,目的在減少未來網路攻擊的可能性與影響, CIRCIA即是在此背景下的措施。
基此,屬關鍵基礎設施的企業或實體應盡早準備以因應新法要求,未來若發生網路安全事件而無法達到報告要求可能遭遇嚴重後果。而即使是非關鍵性基礎設施運營商也應進行準備,由於全球緊張局勢,特別是俄羅斯在烏克蘭的軍事行動增加了對美國企業進行網路攻擊的可能性,即美國企業可能會受到「溢出」的網路攻擊。[9]
[1] “United States: The Cyber Incident Reporting For Critical Infrastructure Act Of 2022,” mondaq, March 23, 2022, https://www.mondaq.com/unitedstates/security/1174828/the-cyber-incident-reporting-for-critical-infrastructure-act-of-2022.
[2] “All Information (Except Text) for H.R.2471 - Consolidated Appropriations Act, 2022,” Congress.gov, March 15, 2022, https://www.congress.gov/bill/117th-congress/house-bill/2471/all-info.
[3] “Congress Has New Appetite for Breach Law Following SolarWinds hack: Lawmaker,” Reuters, February 26, 2021, https://www.reuters.com/article/us-cyber-solarwinds-idUSKBN2AQ1FN.
[4] “Statement by President Biden on our Nation’s Cybersecurity,” The White House, March 21, 2022, https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/21/statement-by-president-biden-on-our-nations-cybersecurity/.
[5] “Colonial Pipeline Paid $5 million Ransom One Day after Cyberattack, CEO Tells Senate,” CNBC, June 9, 2021, https://www.cnbc.com/2021/06/08/colonial-pipeline-ceo-testifies-on-first-hours-of-ransomware-attack.html.
[6] “All of JBS’s U.S. Beef Plants Were Forced Shut by Cyberattack,” Bloomberg, June 1, 2021, https://www.bloomberg.com/news/articles/2021-05-31/meat-is-latest-cyber-victim-as-hackers-hit-top-supplier-jbs.
[7] “Presidential Policy Directive -- Critical Infrastructure Security and Resilience,” The White House, February 12, 2013, https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil.
[8] “Executive Order on Improving the Nation’s Cybersecurity,” The White House, May 12, 2021, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/.
[9] “In the Wake of the Ukraine Invasion, Russia’s Cyberattacks Could go Global,” Washington Post, February 24, 2022, https://www.washingtonpost.com/technology/2022/02/24/russia-cyberattacks-global/.