过去几年里,包括美国、澳大利亚和印度在内的许多国家,都实施了强制性的网络事件报告要求。欧盟最近也通过《网络和信息安全指令2.0》(Network and Information Security Directive 2.0)扩大了强制性报告要求。尽管美国和欧盟制定了宽泛的要求,但是实施这些法律的具体法规和指导意见仍在制定中。在美国,国土安全部的网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)正在起草使该法律生效所需的法规,这一过程将持续到2025年中期。根据欧盟的指令程序,每个成员国都必须通过相关法律才能顺利实施该指令。这种情况下,它们必须在2024年10月之前通过。其他国家也正在考虑类似法律。
虽然细节各不相同,但这些要求都是为了提高政府对国家内部恶意网络活动的范围、规模和强度的观测。从政府的角度看,这种报告的商业案例是明确的:目前,没有一个政府拥有保护国家安全、经济繁荣,或者公共健康与网络空间安全所需的事件信息。然而对于公司来说,自身能够从这些制度中得到什么,往往是不明确的。事实上,许多企业都担心报告网络事件可能会带来一定的潜在负担或其他负面影响。
这些担忧不无道理。在关于报告网络事件的讨论中,有关责任或监管处罚的问题显得尤为突出。然而,正如实体犯罪一样,增加网络事件报告也可以对企业产生有利影响。
报告强制性事件的好处
报告制度带来最明显的好处,是可以直接协助应对事件。如果政府对某事件一无所知,就无法向公司提供帮助。因此,报告制度将为政府直接帮助公司创造机会,例如提供技术和经济支持,帮助公司应对网络事件。并非所有公司都需要政府援助,但在危机期间,许多公司都会欢迎技术或财政支持。
由于强制性报告制度将增加事件报告的数量和及时性,政府也将提高自身能力,以便在出现新的威胁或潜在问题前,向企业发出警告。情报机构使用了“征兆与警告”一词来指代这一活动,使接受者能够在不良事件发生前就做好准备。
向类似处境的实体发出警告,告知它们可能会带来影响的具体威胁,可以帮助这些公司在威胁成为事实前就采取阻止行动。它可以为公司对于资源修复中长期存在的缺陷或优先升级方面的投资,提供必要理由。此外,更有针对且及时的警告,将在公司领导人中具有更大的可信度和知名度。
目前,由于数据不完整和不稳定,了解恶意网络活动的影响和危害的行为,还具有一定挑战性。这一制度将要求企业报告因网络事件而遭受的伤害,包括收入损失、赎金支付、知识产权盗窃,或者个人信息的泄露。随着时间的推移,通过汇总这类数据,政府将能更好地量化恶意网络活动的影响。这些数据可以支持各种评估,既包括单个公司层面的成本-效益分析,也包括国家层面的风险-收益决策。它可以为保险市场提供帮助信息,并完善工作的优先顺序,以便产生更好的结果。
政府还可以利用报告的数据来更好地了解威胁,并且更好地理解环境的趋势或变化。目前,我们缺少整个生态系统中网络事件的良好的基线率(baseline rate)。例如,2022年勒索软件事件的数量比2021年增加还是减少,是取决于编写报告的实体。与许多其他犯罪或者经济统计数据不同,我们没有确凿的事实来源。强制性事件报告将产生具有显著统计意义的趋势信息,从而更好地为政策决策提供信息。由此产生的数据,将有助于衡量政策是否实现了预期效果,或者解释恶意网络活动的演变趋势。企业也可以使用这些数据做出风险指引的决策或长期投资,就像使用其他政府数据源一样。
强制性事件报告的成本
现有自愿制度下的报告率,通常都非常低。例如,据美国联邦调查局统计,在Hive软件勒索团伙的众多受害者中,只有不到20%向美国政府报告了遭受的袭击。很明显,企业看到了报告事件中的多个不利因素,否则他们会更加频繁地报告。这些担忧通常是关于潜在的监管或者法律行动、品牌或声誉损害与诉讼,以及缺乏对报告的利益感知。
当然,强制性要求使得企业别无选择。然而有趣的是,许多报告法规都在试图减轻其中的一些担忧。例如,美国《关键基础设施网络事件报告法》(the Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA)明确禁止监管机构使用根据该法规报告的信息作为监管行动的依据。虽然监管机构仍然可以自主发起调查,但是根据CIRCIA进行报告的行为不会引发此类行动。法规通常会要求接收机构保护报告信息,不能公开披露,以此消除网络事件会对品牌和声誉产生影响的担忧。因此,这些制度不需要像违约通知那样公开披露,只能向某些政府机构披露。虽然公司业务运营受到的影响,仍有可能导致事件被公开,但是此类披露不会是由法规要求的报告行为引起的。(美国证券交易委员会也发布了一项规则,要求上市公司公开披露网络事件,但是该规则遭到了强烈反对。这种披露的目的与本文讨论的报告制度不同。)
尽管采取了这些缓解措施,但是报告制度仍会给企业带来实际成本。报告事件会占据精力。公司必须有人花时间撰写报告,并确定报告的发送对象。然后,公司必须处理接收机构提出的所有问题。如果组织正好处于符合报告标准的网络事件中,那么显然就正处于危急状态。抽出时间进行报告,会不可避免地占用应对危机的时间。
组织还可能会面临来自不同政府机构的多种报告要求,或者受制于不同国家的报告制度。缺乏协调时,可能会使企业难以有效而及时地遵守制度;事实上,在很多情况下,法律冲突可能会导致一家公司无法同时遵守这两项规定。如果政府无法协调机构间或者司法管辖区间的报告要求,那么它们最终可能会给企业带来巨大成本,并且在最极端的情况下,造成的伤害会大于收益。
设计合理的框架
整体来说,虽然许多企业对强制性事件报告有着合理担忧,但仍可能利大于弊。有机会获得直接援助和有针对性的警告,再加上能够在个人、组织和社会层面上做出更明智的决定,如果设计合理,那么强制性报告制度带来的额外成本就是值得的。
因此,在政府制定相关制度时,企业界应当适度参与,来保证能够实现预期目标。企业可以参与规则的制定过程,提出意见和建议。他们可以与倡导团体合作,表达观点和关切。企业界可以呼吁各国政府共同努力,协调各司法管辖区的报告要求。应该建议政府在制定这些制度时遵守一定的原则,例如使报告系统尽可能易于使用,或者在更好地了解事件后,允许更新报告。
未来几年,无论企业是否支持强制性报告制度的想法,美国大多数司法管辖区都将实行这一制度。如果制度建立得当,企业就可以获得明显的益处。因此,企业必须抓住这次机会,将报告制度打造成一个不仅有利于政府与社会,同时也有利于个体的体系。
迈克·丹尼尔是网络威胁联盟(the Cyber Threat Alliance)的主席,专注于改善数字生态系统的网络安全。他在这一领域与联邦政府有二十多年的合作经验,其中有五年时间担任国家网络安全协调员。
迈克·丹尼尔(Michael Daniel)| 文
陈战 | 译 刘隽 | 校 孙燕 | 编辑