网络安全危机沟通：该怎么办

网络安全危机沟通：危机中分歧的处理

几年前，当 Colonial 输油管道遭到袭击时，人们普遍感到恐慌，加油站排起了长队——部分原因是缺乏可靠的信息。这次袭击敲响了警钟，人们开始警惕关键基础设施面临的严重威胁以及后果。

为了应对此次以及其他备受关注的网络攻击，国会通过了《2022年关键基础设施网络事件报告法案》（ CIRCIA）。但由于政府工作进展缓慢，直到2024年，负责监督 CIRCIA的网络安全和基础设施安全局 (CISA) 才完成强制性规则要求，以便该法律能够生效。4月4日，CISA发布了一份拟议规则制定通知(NPRM)，该通知将开放公众意见征询，截止日期为7月3日，最终规则和法规最迟将于2025年10月出台。

CIRCIA 的目标是改变网络危机期间关键基础设施中实体的通信方式并提高整体网络准备程度。

72小时规则

CISA 已将 16 个行业指定为关键基础设施，详情可在此处找到。然而，根据 CIRCIA，只有 13 个行业需要遵守报告指南（截至本文撰写时，商业设施、水坝和食品和农业行业被豁免，但当然，这可能会改变）。

根据新的危机沟通指南，任何在 13 个关键基础设施部门之一下运营的企业（包括中小型企业）都必须在网络事件发生后 72 小时内向 CISA 报告。任何收到有关所涉网络事件报告的联邦机构都有 24 小时的时间与 CISA 分享该报告。

该指南还设立了一个政府间网络事件报告委员会，负责协调、消除冲突并统一联邦事件报告要求。

CIRCIA 的其他勒索软件指南

• 任何在攻击后支付勒索软件费用的组织必须在 24 小时内向 CISA 报告。CISA 将与其他联邦机构分享此报告。

• 通过勒索软件漏洞预警试点 (RVWP) 计划，CISA 授权有关部门和技术识别可能导致勒索软件的漏洞系统，并及时发出警报，以便在攻击之前修复系统。

涵盖的网络事件的标准

除了报告要求外，CIRCIA 和 CISA 还概述了被视为受保护的网络事件的具体标准。如果事件符合以下标准，则必须报告：

• 导致系统机密性、完整性或可用性严重丧失，或对运营的弹性或安全性造成严重影响的事件

• 扰乱商业或工业运营的事件。这包括 DoS 攻击、勒索软件和零日攻击

• 因第三方提供商服务中断而导致未经授权的访问或业务运营中断的事件

如何准备 CIRCIA

尽管 CIRCIA 的全面实施还需要一年时间，并且在此期间可能会发生变化，但组织可以开始采取措施，为需要报告涵盖的事件做好准备。

首先要了解您的组织是否属于涵盖的行业，如果是，请熟悉报告指南。

这将是审查组织的网络安全政策并实施 NIST网络安全框架 2.0、NIST软件供应链安全框架和其他政府网络安全指导建议的好时机。

事件响应团队应接受有关CIRCIA 要求以及现有事件响应计划的全面培训， 并进行演练。事件响应协议可能需要更新以满足这些要求。如果您的组织没有事件响应团队和计划，现在是时候组建一个了。

CIRCIA 规则直到 2025 年最终规则生效后才会具有强制性，但现在开始遵循该指南以改善整个企业和关键基础设施的网络安全还为时不晚。