近年來，Solarwinds供應鏈攻擊、Colonial Pipeline勒索攻擊等一系列網(wǎng)絡安全事件頻發(fā)，持續(xù)校驗各國包括關鍵基礎設施保護在內(nèi)的網(wǎng)絡安全保障體系的實施效能。如何進一步加強對國家安全有重要影響的關鍵信息基礎設施領域的風險發(fā)現(xiàn)和防御能力，如何確保監(jiān)管部門及時掌握安全態(tài)勢，充分調(diào)動國家力量共同消解網(wǎng)絡安全風險成為各國關注點。

　　近期，澳大利亞、美國、印度相繼通過立法或指令，從建立強制性的網(wǎng)絡安全事件報告義務入手，明確運營者事件報告期限要求，提升國家的網(wǎng)絡安全態(tài)勢感知能力。

　　近期立法動態(tài)

　　一、美國《2022年關鍵基礎設施事件報告法》

　　2022年3月15日，美國總統(tǒng)拜登簽署的《2022年綜合撥款法》（Consolidated Appropriations Act, 2022）中，正式通過《2022年關鍵基礎設施網(wǎng)絡事件報告法》（Cyber Incident Reporting for Critical Infrastructure Act of 2022），要求關鍵基礎設施領域?qū)嶓w在有理由相信網(wǎng)絡事件發(fā)生后72小時內(nèi)，以及因勒索攻擊支付贖金后24小時內(nèi)，向網(wǎng)絡安全和基礎設施安全局（CISA）報告。

　　1. 誰需要報告？

　　事件報告義務適用于總統(tǒng)政策指令21（PDD-21）中定義的關鍵基礎設施部門的實體。PDD-21確定了16個關鍵基礎設施行業(yè)，包括：化工、商業(yè)設施、通信、關鍵制造、水利、國防工業(yè)基地、應急服務、能源、金融服務、食品和農(nóng)業(yè)、政府設施、醫(yī)療保健和公共衛(wèi)生、信息技術、核反應堆、材料和廢棄物、交通系統(tǒng)、供水和廢水系統(tǒng)。在CISA制定的最終規(guī)則中將進一步明確所包含的實體類型。

　　實體可以通過第三方，如事件響應公司、保險商或服務提供商來提交事件報告，但這并不免除實體本身的報告義務。

　　2. 什么情況下需要報告？

　　該法規(guī)定三種報告情形：

　?。?）實體應在有合理理由相信網(wǎng)絡事件已經(jīng)發(fā)生后的72小時內(nèi)報告；

　?。?）實體應在遭受勒索攻擊而支付贖金后24小時內(nèi)報告。即使該勒索攻擊不屬于本法管轄的網(wǎng)絡事件也應履行報告義務；

　　（3）若有實質(zhì)性新的或不同的信息，或者實體依本法報告網(wǎng)絡事件后支付了勒索贖金，應及時向CISA提交更新或補充報告，直到該實體通知CISA事件已結(jié)束并得到完全緩解和恢復。

　　該法對“網(wǎng)絡事件”的定義援用2002年《國土安全法》的現(xiàn)有定義，即“在沒有合法授權(quán)的情況下，實際或即將危及網(wǎng)絡信息完整性、機密性或可用性的事件”。只有構(gòu)成“重大網(wǎng)絡事件”才需要進行報告，在CISA制定的最終規(guī)則中將進一步明確“重大網(wǎng)絡事件”類型。

　　3. 向誰報告？

　　向CISA報告。

　　收到實體的報告后，CISA將立即審查該報告，以確定該網(wǎng)絡事件是否與持續(xù)的網(wǎng)絡威脅或安全漏洞有關。如有關，將使用該信息來識別風險，并迅速向利益相關者傳播網(wǎng)絡威脅指標和可行的防御措施。

　　4. 需報告哪些信息？

　　報告網(wǎng)絡事件，需提交下列信息：

　　（1）對事件的描述。包括識別和描述受影響的信息系統(tǒng)、網(wǎng)絡和設備的功能；對未經(jīng)授權(quán)的訪問進行描述，是否對受影響信息系統(tǒng)或網(wǎng)絡的機密性、完整性或可用性造成重大損失，或?qū)ι虡I(yè)或工業(yè)運營造成中斷；該事件預計的發(fā)生日期；以及對實體的影響；

　?。?）描述被利用的漏洞和已采取的安全防御措施，以及網(wǎng)絡事件所采取的戰(zhàn)術、技術和程序（如有）；

　　（3）有合理理由相信應對該事件負責的每個行為者的識別信息或聯(lián)系信息（如有）；

　?。?）曾經(jīng)或有合理理由相信已經(jīng)被訪問或獲取的一類或多類信息（如有）；

　?。?）受影響實體的名稱和其他信息；

　?。?）聯(lián)系方式，以及實體的服務供應商（如有）。

　　報告勒索攻擊，需提交下列信息：

　?。?）對勒索攻擊的描述，包括預估的攻擊發(fā)生時間；

　?。?）描述用于實施勒索攻擊的漏洞、戰(zhàn)術、技術和程序（如有）；

　?。?）有合理理由相信應對該事件負責的每個行為者的識別信息或聯(lián)系信息（如有）；

　?。?）清楚描述支付贖金或代為支付贖金的實體名稱和其他信息；

　?。?）聯(lián)系方式，以及實體的服務供應商（如有）；

　?。?）支付贖金的日期；

　?。?）贖金支付要求，包括所要求的虛擬貨幣或其他類型（如有）；

　?。?）贖金支付指示，包括有關支付地點的信息，如要求將贖金發(fā)送到的虛擬貨幣地址或物理地址（如有）；

　?。?）贖金金額。

　　5. 未遵守報告要求的后續(xù)措施

　　（1）如果CISA有理由相信，無論是通過公開報告還是聯(lián)邦政府掌握的其他信息，實體發(fā)生了本法所管轄的網(wǎng)絡安全事件或支付了勒索贖金，但未按照本法要求進行報告的，CISA主管可要求實體提供額外信息；

　　（2）在CISA主任要求提供額外信息之日起72小時內(nèi)，若沒有收到回應或回應不充分，CISA主任可以向該實體發(fā)出傳票，強制要求實體披露相關信息，并評估此網(wǎng)絡事件對國家安全、經(jīng)濟安全、公共健康等的潛在影響；

　　（3）若實體不遵守傳票要求，CISA主任可將該情況提交司法部長，在美國地方法院提起民事訴訟，以執(zhí)行傳票；

　?。?）法院可將實體不遵守傳票的行為裁定為藐視法庭罪，予以處罰。

　　此外，如果CISA根據(jù)傳票所提供的信息認定網(wǎng)絡事件或贖金支付有關的事實可能構(gòu)成監(jiān)管執(zhí)法行動或刑事檢控的理由，CISA可向司法部長或相關聯(lián)邦監(jiān)管機構(gòu)負責人提供此類信息，后者可將此類信息用于監(jiān)管執(zhí)法行動或刑事起訴。

　　6. 其他規(guī)定

　　實體還必須根據(jù)CISA發(fā)布的規(guī)則，留存與該法所規(guī)定的網(wǎng)絡事件和贖金支付有關的信息。

　　CISA有24個月的時間來發(fā)布擬議的規(guī)則制定通知，之后有18個月的時間來發(fā)布最終規(guī)則。該法要求的事件報告義務根據(jù)最終規(guī)則中規(guī)定的時間生效。

　　二、澳大利亞《2021年安全立法修正案（關鍵基礎設施）法》

　　2021年12月2日，澳大利亞《2021年安全立法修正案（關鍵基礎設施）法》（Security Legislation Amendment（Critical Infrastructure） Act 2021，簡稱SLACI法）正式通過。修正案對《2018年關鍵基礎設施安全法》（SOCI法）進行修訂，提出強制性的網(wǎng)絡安全事件報告義務。

　　1. 誰需要報告？

　　關鍵基礎設施資產(chǎn)的負責實體。

　　關鍵基礎設施資產(chǎn)包括：關鍵廣播資產(chǎn)、關鍵域名系統(tǒng)、關鍵數(shù)據(jù)存儲或處理資產(chǎn)、關鍵銀行資產(chǎn)、關鍵養(yǎng)老金資產(chǎn)、關鍵保險資產(chǎn)、 關鍵金融市場基礎設施資產(chǎn)、關鍵食品和雜貨資產(chǎn)、關鍵醫(yī)院、關鍵教育資產(chǎn)、關鍵貨運基礎設施資產(chǎn)、關鍵貨運服務資產(chǎn)、關鍵公共交通資產(chǎn)、關鍵液體燃料資產(chǎn)、關鍵能源市場運營商資產(chǎn)、關鍵港口、關鍵電力資產(chǎn)、關鍵天然氣資產(chǎn)、關鍵水資產(chǎn)、關鍵航空資產(chǎn)。

　　2. 什么情況下需要報告？

　　該法規(guī)定了兩種報告情況：

　?。?）實體意識到網(wǎng)絡安全事件已經(jīng)或正在發(fā)生，并已經(jīng)或正在對關鍵基礎設施資產(chǎn)可用性產(chǎn)生“重大影響”（包括直接和間接影響）的，應在12個小時內(nèi)報告該事件及相關信息。

　　關鍵基礎設施資產(chǎn)用于提供基本商品或服務，并且事件嚴重擾亂基本商品和服務的供應時，構(gòu)成“重大影響”?？梢砸钥陬^或者書面形式報告。如果是口頭報告，則在第一次報告后84小時內(nèi)提交進一步的書面報告。

　?。?）實體意識到網(wǎng)絡安全事件已經(jīng)或正在發(fā)生，并已經(jīng)、正在或可能對關鍵基礎設施資產(chǎn)產(chǎn)生“相關影響”的，應在72個小時內(nèi)報告該事件及相關信息。

　　對資產(chǎn)可用性、完整性、可靠性或機密性造成的影響屬于“相關影響”?？梢砸钥陬^或者書面形式報告。如果是口頭報告，則在第一次報告后48小時內(nèi)提交進一步的書面報告。

　　“網(wǎng)絡安全事件”指的是涉及以下一項或多項內(nèi)容：（1）未經(jīng)授權(quán)訪問或修改計算機數(shù)據(jù)或計算機程序；（2）未經(jīng)授權(quán)損壞電子通訊;或（3）未經(jīng)授權(quán)損害計算機數(shù)據(jù)、計算機程序或計算機的可用性、可靠性、安全性或運行。

　　3. 向誰報告？

　　向澳大利亞網(wǎng)絡安全中心（ACSC）報告。

　　4. 需報告哪些信息？

　　需要提交下列信息：（1）聯(lián)絡點信息；（2）機構(gòu)信息（包括澳大利亞商業(yè)號碼）；（3）關鍵基礎設施領域；（4）事件確定的日期和時間，以及事件是否正在進行；（5）確認該事件是否對資產(chǎn)產(chǎn)生重大影響；（6）細節(jié)信息，如事件是如何被發(fā)現(xiàn)的、事件性質(zhì)（如是否是勒索攻擊或DOS攻擊）、事件是否對信息技術、運營技術或消費者數(shù)據(jù)造成影響、以及事件是否在其他地方被報道過等。

　　提交信息后，實體將收到一份來自ACSC的報告收據(jù)，將包括一個唯一的報告編號。根據(jù)事件的性質(zhì)，ACSC可能會與實體聯(lián)系，以提供協(xié)助或獲取事件其他信息，以供事件響應和網(wǎng)絡威脅信息之用。在事件發(fā)生后，內(nèi)政部也可能會與實體聯(lián)系，索取有關事件的額外資料，以作規(guī)管之用。

　　5. 法律責任

　　違規(guī)可能導致最高50個罰款單位（目前為11,100 澳元）罰款。

　　6. 其他規(guī)定

　　立法還為澳大利亞政府規(guī)定了額外的權(quán)力，澳大利亞政府認為這些權(quán)力對于維護澳大利亞關鍵基礎設施安全至關重要。從2021年12 月起，政府可以行使以下權(quán)力來應對影響關鍵基礎設施資產(chǎn)的網(wǎng)絡安全事件：

　?。?）信息收集——要求實體提供與網(wǎng)絡安全事件相關的信息；

　　（2）行動指示——如果實體不愿意或無法解決網(wǎng)絡安全事件，內(nèi)政部長可以指示實體采取或不采取任何被認為合理必要、相稱且技術上可行的行動，以應對網(wǎng)絡安全事件；

　?。?）干預請求——為澳大利亞信號局提供“最后手段”的權(quán)力，可以在實體不愿或無法解決網(wǎng)絡安全事件的情況下控制資產(chǎn)（take control of an asset）。

　　三、印度計算機應急響應小組指令

　　2022年4月28日，印度的計算機應急響應小組（CERT-In）發(fā)布《關于<2000年信息技術法>第70B條第（6）款，可信網(wǎng)絡的信息安全實踐、程序、預防、響應和網(wǎng)絡安全事件報告指令》（Directions under sub-section （6） of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet），要求組織在6小時內(nèi)向CERT-In報告網(wǎng)絡安全事件。該指令中的措施和規(guī)定將納入《2000年信息技術法》第70B條，因此構(gòu)成印度立法的一部分，將在60天內(nèi)生效。

　　1. 誰需要報告？

　　服務提供商、中介機構(gòu)、數(shù)據(jù)中心、法人團體和政府機構(gòu)。

　　2. 什么情況下需要報告？

　　服務提供商、中介機構(gòu)、數(shù)據(jù)中心、法人團體和政府機構(gòu)應當在發(fā)現(xiàn)或被告知發(fā)生網(wǎng)絡安全事件后6小時內(nèi)向CERT-In報告。

　　指令明確20類應當報告的網(wǎng)絡安全事件類型，包括：

　　(1) 關鍵網(wǎng)絡/系統(tǒng)的定向掃描/探測；

　　(2) 對關鍵系統(tǒng)/信息造成威脅；

　　(3) 未經(jīng)授權(quán)訪問IT系統(tǒng)/數(shù)據(jù)；

　　(4) 網(wǎng)站篡改、入侵網(wǎng)站并進行未經(jīng)授權(quán)的更改，如嵌入惡意代碼、鏈接到外部網(wǎng)站等；

　　(5) 惡意代碼攻擊，例如傳播病毒/蠕蟲/木馬/機器人/間諜軟件/勒索軟件/加密礦工；

　　(6) 攻擊數(shù)據(jù)庫、郵件和DNS等服務器以及路由器等網(wǎng)絡設備；

　　(7) 身份盜用、欺騙和網(wǎng)絡釣魚攻擊；

　　(8) 拒絕服務（DoS）和分布式拒絕服務（DDoS）攻擊；

　　(9) 攻擊關鍵基礎設施、SCADA和運營技術系統(tǒng)以及無線網(wǎng)絡；

　　(10) 攻擊電子政務、電子商務等應用程序；

　　(11) 數(shù)據(jù)入侵（Data Breach）；

　　(12) 數(shù)據(jù)泄露（Data Leak）；

　　(13) 攻擊物聯(lián)網(wǎng)設備和相關系統(tǒng)、網(wǎng)絡、軟件、服務器；

　　(14) 影響數(shù)字支付系統(tǒng)的攻擊或事件；

　　(15) 通過惡意移動應用程序（APP）進行的攻擊；

　　(16) 虛假手機應用程序；

　　(17) 未經(jīng)授權(quán)訪問社交媒體帳戶；

　　(18) 影響云計算系統(tǒng)/服務器/軟件/應用程序的攻擊或惡意/可疑活動；

　　(19) 影響與大數(shù)據(jù)、區(qū)塊鏈、虛擬資產(chǎn)、虛擬資產(chǎn)交易所、托管錢包、機器人、3D和4D打印、增材制造和無人機相關的系統(tǒng)/服務器/網(wǎng)絡/軟件/應用程序的攻擊或惡意/可疑活動；

　　(20) 影響與人工智能和機器學習相關的系統(tǒng)/服務器/網(wǎng)絡/軟件/應用程序的攻擊或惡意/可疑活動。

　　3. 向誰報告？

　　向CERT-In報告。

　　根據(jù)《2000年信息技術法》，CERT-In承擔著以下職能：（1）收集、分析和傳播網(wǎng)絡事件相關信息；（2）預測和預警網(wǎng)絡安全事件；（3）采取網(wǎng)絡安全事件應急響應措施；（4）協(xié)調(diào)網(wǎng)絡事件響應活動；（5）發(fā)布信息安全實踐、程序、預防、相應和網(wǎng)絡事件報告相關的指南、建議、漏洞說明和白皮書等。

　　4. 其他規(guī)定

　　當接到CERT-In的命令或指示，以進行網(wǎng)絡事件響應或預防行動時，實體必須采取行動，或者向CERT-In提供信息或其他援助。命令或指示可能包括所需信息的格式（可能包括實時信息），并指定提交信息的時間，實體應按照這些要求將信息提供給CERT-In，否則將被視為不遵守該指令。上述實體應指定一個聯(lián)絡點，與CERT-In對接。

　　實體應連接到國家信息中心（NIC）或國家物理實驗室（NPL）的網(wǎng)絡時間協(xié)議（NTP）服務器，或與可連接到NTP服務器的其他服務器相連，以同步其所有ICT系統(tǒng)時鐘。擁有跨越多個地區(qū)ICT基礎設施的實體也可以使用除NPL和NIC以外的準確和標準的時間源，但要確保其時間源不會偏離NPL和NIC。

　　實體的所有ICT系統(tǒng)日志必須在印度管轄范圍內(nèi)安全保留180天，并應與安全事件報告一起或在機構(gòu)要求時提供給CERT-In。

　　指令還對部分特殊主體的數(shù)據(jù)留存義務提出要求。包括（1）數(shù)據(jù)中心、虛擬專用服務器（VPS）提供商、云服務提供商、虛擬專用網(wǎng)絡（VPN）提供商，應登記下列準確信息，這些信息必須在用戶注銷或撤銷登記(視情況而定)后繼續(xù)保存5年或更長時間(法律規(guī)定的期限)：訂閱戶/客戶的有效名稱、租用服務的期限、分配給用戶的IPs、注冊或登錄的郵箱地址/IP地址/使用服務的時間戳、租用服務的目的、經(jīng)驗證的地址和聯(lián)系電話、訂閱戶/客戶租用服務的所有權(quán)模式；（2）虛擬資產(chǎn)服務提供商、虛擬資產(chǎn)交易提供商和托管錢包提供商應維護“了解你的客戶”中獲取的所有信息和金融交易記錄。其中，交易記錄應以準確的方式保存包括但不限于相關方識別信息、IP地址、時間戳、時區(qū)、交易ID、公鑰（或等效標識符）、涉及的地址或賬戶（或等效標識符）、交易性質(zhì)、交易日期、交易金額。

　　簡評

　　美國、澳大利亞、印度近期的相關立法動向呈現(xiàn)出一定特點：（1）給出明確的事件報告時間要求，要求在規(guī)定期限內(nèi)盡可能快地向指定部門報告。具體來說，印度對于時間要求最為緊迫，要求在6小時內(nèi)報告，美國要求發(fā)生網(wǎng)絡安全事件后72小時或因勒索攻擊支付贖金后24小時內(nèi)，澳大利亞要求對關鍵基礎設施資產(chǎn)產(chǎn)生“重大影響”的應在12小時內(nèi)，產(chǎn)生“其他影響”的在72小時內(nèi)報告；（2）通過法律責任或后續(xù)行動，賦予事件報告要求一定的強制性。美國關鍵基礎設施運營者未按照要求報告事件的，CISA主任可以對實體發(fā)出傳票、提起民事訴訟，運營者甚至可能構(gòu)成藐視法庭罪。澳大利亞主要通過罰款進行處罰；（3）賦予指定部門一定的事件處置干預能力。澳大利亞規(guī)定，如果實體不愿或無法解決網(wǎng)絡安全事件，澳大利亞信號局可以采取“最后手段”，控制關鍵基礎設施資產(chǎn)。

　　在我國現(xiàn)有立法中，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》《計算機信息系統(tǒng)安全保護條例》等法律法規(guī)中也規(guī)定了報告義務及相應的法律責任。其中，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》要求“按照規(guī)定”報告網(wǎng)絡/數(shù)據(jù)安全事件，并未直接給出細化要求?！队嬎銠C信息系統(tǒng)安全保護條例》要求“對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在24小時內(nèi)向當?shù)乜h級以上人民政府公安機關報告”。此外，在部分行業(yè)規(guī)定中，如證監(jiān)會發(fā)布的《證券期貨業(yè)網(wǎng)絡安全事件報告與調(diào)查處理辦法》，要求“核心機構(gòu)和經(jīng)營機構(gòu)網(wǎng)絡和信息系統(tǒng)發(fā)生故障，可能構(gòu)成網(wǎng)絡安全事件的，應當立即報告?？赡軜?gòu)成特別重大、重大網(wǎng)絡安全事件的，應當每隔30分鐘至少上報一次事件處置情況，直至系統(tǒng)恢復正常運行...”在我國網(wǎng)絡安全形勢依舊嚴峻，仍然是網(wǎng)絡攻擊主要受害國之一的背景下，近期國外相關立法動向可為我國研究修訂《網(wǎng)絡安全法》、進一步明確“有關規(guī)定”、細化事件報告制度、量化制度要求提供參考。