美國預計通過新法案:關鍵基礎設施之網路攻擊應於時限內通報

2022, MAR. 15

新聞來源:國家資通安全會報技術服務中心

美國參議院於3月11日通過“Cyber Incident Reporting for Critical Infrastructure Act”,該法案要求關鍵基礎設施之所有者與運營商於特定情況下,須將其資安事件通報聯邦政府。

關鍵基礎設施之所有者與運營商在事件72小時內與支付勒索軟體款項後24時內,向國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)通報重大資安事件,並賦予CISA傳喚未通報網路攻擊或勒索軟體付款者之權力。此外,CISA亦須於24小時內向適當之聯邦機構,提交資安事件相關報告。

該法案正式簽署後,CISA需於24個月內制定通報規則與定義通報細節,包括涵蓋之關鍵基礎設施、須通報之資安事件及須涵蓋之內容。
該法案亦對所提交報告訂定明確之保護規定,與美國2015年訂定之網路安全資訊共享法類似,對於自願與聯邦政府分享其網路安全資訊有所保護,相關規定如下:
1. 政府僅能以網路安全為目的使用相關報告(或其他非常有限之目的)。
2. 禁止將勒索軟體支付報告應用於監管相關單位。
3. 應將報告視為自身之資訊。
4. 豁免該報告不受資訊自由法、州與地方資訊揭露相關法令之約束。
5. 保有該報告之特權。
6. 不將報告視為單向溝通。
7. 保護相關單位免除向聯邦政府提供資訊之責任。

該法案提供所分享之資安事件報告與“僅為準備、草擬或提交此類報告而產生之資訊、文件、題材或其他紀錄”廣泛之保護,以防止任何聯邦、州或地方法院,以及監管機構將此類資訊作為證據。

該法案正進行總統簽署程序,預計於3月中旬完成。白宮本週發表一份支持該法案之聲明,惟聯邦政府對於該法案仍意見分歧,CISA鼓勵其通過,司法部(Department of Justice, DOJ)則批評該法案無要求受駭單位通知CISA外,同時通知FBI。