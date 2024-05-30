2022 年 3 月，拜登政府签署通过《2022 年关键基础设施网络事件上报法案》(CIRCIA)。这项具有里程碑意义的立法授权美国网络安全与基础设施安全局 (CISA) 制定并实施相关法规，要求受监管实体上报特定网络事件及勒索软件支付行为。
CIRCIA 事件上报旨在使 CISA 能够：
正如人们所说，细节决定成败。4 月初，美国网络安全与基础设施安全局 (CISA) 发布了长达 447 页的《拟议规则制定通知》(NPRM)，以履行《2022 年关键基础设施网络事件上报法案》(CIRCIA) 赋予的法定职责。该文件目前已通过《联邦公报》公开征求公众意见。
结合 CIRCIA 及其最新发布的 NPRM 来看，未来勒索软件攻击事件的上报机制将会呈现出怎样的形态？我们一起去寻找答案。
根据 CISA 的定义：“勒索软件是一种持续演变的恶意软件，其设计目的是加密设备上的文件，导致相关文件及依赖这些文件的系统无法使用。恶意行为者随后会索要赎金，以此作为提供解密服务的交换条件。”
勒索软件团伙通常会窃取数据或身份验证信息，若受害者拒绝支付赎金，便以出售或泄露这些信息相威胁。此类勒索软件攻击在州、地方、部落及地区 (SLTT) 政府机构与关键基础设施组织中，已变得愈发普遍。
CISA）的 NPRM 提出了四类影响情形，一旦事件符合其中任意一类，即会被归类为重大网络事件，进而需履行上报义务。这四类影响包括：
CISA 进一步提议，重大网络事件的认定不受成因限制——无论是否涉及勒索软件均在此列。这类事件包括云服务提供商、托管服务提供商或其他第三方数据托管商遭受入侵、供应链入侵、拒绝服务攻击、勒索软件攻击，或是零日漏洞被利用等情形。
CIRCIA 要求受监管实体，在合理认为发生特定网络事件后 72 小时内，向 CISA 提交上报。
同时，针对勒索软件攻击所支付的赎金，需在支付完成后 24 小时内履行上报义务。显然，CIRCIA 已将勒索软件相关事项列为上报工作的优先级重点。
就勒索软件上报而言，CISA 在 NPRM 中列出四个步骤：
CISA 进一步明确，时间因素不构成上报豁免理由。例如，若贵公司发现两年前曾遭遇某起网络事件，且该事件至今仍在持续（未终止）；根据拟议规则，贵公司仍需提交《特定网络事件上报》，因该事件尚未结束，也未得到全面缓解与解决。
根据 CISA 的规定，需上报事件不包括“信息系统所有者或运营者提出特定请求后，某实体基于善意实施行为而引发的网络事件”。
那么，“善意”场景具体指什么？例如，第三方服务提供商在合同约定范围内开展工作时，因无意的配置错误导致企业设备出现服务中断。再如，经正式授权的渗透测试，意外引发了具有实际影响的网络事件，这类情况均属于“善意”场景。
其他善意排除可能是与安全研究测试相关的事件。研究人员可能已授权尝试破坏系统，例如，根据漏洞披露政策或错误赏金计划。话虽如此，CISA 预计很少会发生此类豁免。善意的安全研究通常在漏洞得到证实时停止，通常不应导致具有实际影响的事件。
在部分情况下，受监管实体遭遇真实的勒索软件攻击或其他恶意事件时，可能会采取针对自身的应对措施（如关闭系统或业务运营），若该措施造成了需上报等级的影响，则相关事件仍需履行上报义务。例如，勒索软件即服务攻击的受害者，可能为阻止攻击造成更广泛的影响而采取此类关闭操作。该场景仍将被认定为需上报的重大网络事件。
在此类情况下，事件本身并非基于善意实施，且若未发生攻击，原本不会出现达到上报阈值的影响。因此，CISA 不会将受监管实体的相关行为认定为符合“善意”豁免情形。显然，受监管实体是有意触发了具有影响的事件（例如让系统下线），其目的是最大限度降低网络事件的潜在损失。但此类行为仍不能豁免上报义务。
关于勒索软件上报要求的讨论正在进行中。即便拥有健全网络韧性体系的实体也面临风险，因此 CIRCIA 的最终落地结论，必将受到所有相关方的高度关注。
