网络安全已经达到了一个临界点。在听任私营部门企业或多或少地自行处理网络事件数十年之后,网络攻击的规模和影响意味着这些事件的余波可以跨越社会和边界产生涟漪。
现在,政府感到有必要“做点什么”,许多政府正在考虑制定新的法律和法规。然而,立法者通常难以监管技术——他们会对政治上的紧迫性做出反应,大多数人对他们旨在控制的技术并没有牢牢把握。对企业的后果、影响和不确定性通常是在事后才意识到。
在美国,一整套新的法规和执法正在酝酿之中:联邦贸易委员会(Federal Trade Commission)、食品和药物管理局(Food and Drug Administration)、交通部(Department of Transportation)、能源部(Department of Energy)以及网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)都在制定新规则。此外,仅在2021年,就有36个州颁布了新的网络安全立法。从全球来看,出台了许多举措,比如中国和俄罗斯的数据本地化要求,印度的印度计算机应急团队(CERT-In)事件报告要求,以及欧盟的《通用数据保护条例》 (GDPR)及其事件报告。
然而,企业不必坐等规则的制定和实施。相反,他们需要现在就着手工作,了解目前正在考虑的各种法规,判明不确定性和潜在影响,并准备采取行动。
不为我们所了解的网络攻击
迄今为止,大多数国家的网络安全相关法规都针对的是隐私而非网络安全,因此大多数网络安全攻击都不需要报告。如果姓名和信用卡号码等私人信息被盗,那必须向有关当局报告。可是,比如说当科洛尼尔管道运输公司(Colonial Pipeline)遭受勒索软件攻击,导致其关闭为美国东海岸近50%的地区提供燃料的管道时,它不需要报告,因为没有个人信息被盗。(当然,当数以千计的加油站无法获得燃料时,保守秘密十分困难。)
因此,几乎不可能知道到底有多少网络攻击,以及它们采取的形式。有人表示,只有25%的网络安全事件得到报告,有人说只有大概18%,还有人说得到报告的只有10%或者更少。
事实是,我们不知道有哪些东西不为自己所知。这是一种可怕的情形。正如管理大师彼得·德鲁克(Peter Drucker)的名言所称:“如果你不能衡量它,你就无法管理它。”
需要报告的是什么?由谁报告?何时报告?
政府已经明确,这种做法是站不住脚的。比如,在美国,白宫、国会、证券交易委员会(Securities and Exchange Commission, 简称SEC)以及许多其他机构和地方政府正在考虑、贯彻或开始执行新的法规,要求公司报告网络事件——特别是关键的基础设施行业,比如能源、医疗卫生、通信和金融服务。按照这些新规,科洛尼尔管道运输公司就会被要求报告勒索软件攻击。
在某种程度上,这些要求受到了建议飞机报告“险些相撞”或“侥幸脱险”的启发:当飞机差点相撞时,他们被要求提交一份报告,以便导致此类事件的故障在未来可以得到识别和避免。
从表面上看,对网络安全提出类似要求似乎非常合理。问题是,应该算作网络安全“事件”的东西远不及允许距离的两架飞机“险些相撞”那么明确。网络“事件”是指可能导致网络漏洞的事情,但不一定已经成为一个实际的网络漏洞:按照一个官方定义,它的条件只是一个“即将危害”某一系统或存在违反法律的“紧迫威胁”的行动。
然而,这给企业留下了操纵很多灰色地带的空间。比如,如果有人试图登录你的系统,但由于密码错误而遭到拒绝。这是否是一个“紧迫的威胁”?钓鱼电子邮件呢?或者有人在你的系统中搜索log4j漏洞等已知的、常见的漏洞?如果一个攻击者真的进入了你的系统,但在造成任何伤害之前就被发现和驱逐了呢?
这种模糊性要求企业和监管机构找到一种平衡。当有关攻击者企图的信息越多时,所有企业都会更安全,但这需要企业及时报告有意义的事件。比如,根据从当前事件报告中收集的数据,我们了解到,在国家漏洞数据库(National Vulnerability Database,简称NVD)的近20万个已知漏洞中,仅有288个在勒索软件攻击中被积极利用。了解到这一点可以让公司优先解决这些漏洞。
另一方面,使用一个过于宽泛的定义可能意味着,典型的大公司可能被要求每天报告成千上万的事件,即使大多数是被忽视或拒收的垃圾邮件。这对提供这些报告的公司以及需要处理层出不穷的报告并理清头绪的机构来说都是一个巨大的负担。
跨国企业还需要把握欧盟、澳大利亚及其他地方的不同报告标准,包括提交报告的速度——无论是印度的6小时、欧盟依据GDPR规定的72小时,还是美国的4个工作日,而且每个国家通常有许多差别,因为不同的机构出台有大量的规定。
企业现在能有何作为
确保你的程序胜任这项工作。受美国证券交易委员会法规约束的企业(其中包括美国的大多数大型公司)需要根据这些新法规迅速定义“重要性原则”,并重新审视其当前的政策和程序,以确定“重要性原则”是否适用。他们很可能需要修改这些政策和程序,以简化他们的操作——尤其是在这种决定必须频繁、快速进行的情况下。
让勒索软件政策得到更新。在报告勒索软件攻击,甚至将支付赎金定为犯罪等方面的法规也正在制定。涉及向勒索软件支付赎金的企业政策需要重新审视,还有网络保险政策上可能的变化也需要重新审视。
为更好审查你的数字供应链,要准备所需的“软件材料清单”。许多企业不知道他们的系统中存在log4j漏洞,因为该软件经常与其他软件捆绑在一起,而这些软件又与另外的软件捆绑在一起。有人正提议制定法规,要求企业保有一份详细的、最新的“软件材料清单(Software Bill of Materials, SBOM)”,以便他们能够快速、准确地了解嵌入其复杂计算机系统中的所有不同软件。
虽然“软件材料清单”对于其他目的也很有用,但它可能需要对公司的软件开发和获取方式进行重大改变。这些变化的影响需要由管理层进行重新审视。
你还应该做哪些事情?
你的公司应该有人,或者可能有一个小组,正在审查这些新的或拟议的法规,并评估它们会对你的企业产生什么影响。这些不仅仅是留给你的信息技术或网络安全团队的技术细节——它们对整个公司都有影响,并可能改变整个企业的许多政策和程序。这些新法规中的大多数仍然具有可塑性,从这个意义上讲,你的企业可能应该积极影响这些法规的走向以及它们得到实施和执行的方式。
致谢:这项研究部分程度上得到了麻省理工学院斯隆管理学院网络安全(Cybersecurity at MIT Sloan, CAMS)联盟成员的资金支持。
斯图尔特·马德尼克是麻省理工学院斯隆管理学院的约翰·诺里斯·马奎尔(1960)信息技术学教授,麻省理工学院工程学院的工程系统学教授,以及麻省理工学院斯隆学院网络安全(CAMS)的主任:提升关键基础设施网络管理安全的跨学科联盟。自1979年与人合著《计算机安全》(Computer Security)一书以来,他就一直活跃在网络安全领域。
斯图尔特·马德尼克(Stuart Madnick)| 文
时青靖 | 编辑