E安全2月8日訊《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》(簡(jiǎn)稱NISD)將于2018年5月9日正式生效,為了敦促各企業(yè)妥善落實(shí)網(wǎng)絡(luò)安全防護(hù)措施,英國(guó)政府已在不久前警告其國(guó)內(nèi)各重要行業(yè)必須提升自身網(wǎng)絡(luò)安全水平,否則將面臨《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》帶來(lái)的巨額罰款。目前,英國(guó)相關(guān)部門(mén)將對(duì)處置不當(dāng)?shù)钠髽I(yè)苛以最高 1700 萬(wàn)英鎊(約合人民幣1.51億元)的罰款。
NISD與GDPR于2016年7月6日通過(guò)的《歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令》將于2018年5月9日正式生效,并將在各歐盟成員國(guó)內(nèi)得到普及。2018年5月9日同時(shí)也是歐盟《通用數(shù)據(jù)保護(hù)條例》GDPR的生效時(shí)間。企業(yè)如果涉及與歐盟的合作,將不得不參考GDPR、NISD這兩個(gè)文件的要求。
NISD旨在保護(hù)GDPR未能涵蓋的網(wǎng)絡(luò)系統(tǒng)類別的安全性水平,同時(shí)亦用于保證構(gòu)成關(guān)鍵基礎(chǔ)設(shè)施(例如電力、水供應(yīng)、醫(yī)療衛(wèi)生以及運(yùn)輸?shù)?的各個(gè)行業(yè)的安全性。這些企業(yè)或相關(guān)職能實(shí)體在指令中被定義為“基礎(chǔ)服務(wù)運(yùn)營(yíng)商(簡(jiǎn)稱OES)”以及“數(shù)字服務(wù)供應(yīng)商(簡(jiǎn)稱DSP)”。
歐盟各國(guó)可靈活落實(shí)NISD
由于NISD屬于指令而非規(guī)定,因此其在各國(guó)的具體實(shí)施方式具有一定的靈活性空間。舉例來(lái)說(shuō),英國(guó)政府此前曾提出,根據(jù)該指令執(zhí)行的罰款額度應(yīng)該在1000萬(wàn)歐元至2000萬(wàn)歐元(約合人民幣7835萬(wàn)元到1.57億元)之間,或者該企業(yè)全球年?duì)I業(yè)額的2%至4%之間。而目前已經(jīng)實(shí)施的最高罰款額度為1700萬(wàn)歐元(約合人民幣1.51億元)。
英國(guó)方面已經(jīng)明確表示,遭遇安全入侵的基礎(chǔ)服務(wù)運(yùn)營(yíng)商企業(yè)不會(huì)自動(dòng)觸發(fā)罰款條例,最終結(jié)果具體取決于各行業(yè)監(jiān)管機(jī)構(gòu)或主管部門(mén)的實(shí)際判斷。而判斷的主要依據(jù),則為遭遇安全違規(guī)的基礎(chǔ)服務(wù)運(yùn)營(yíng)商/數(shù)字服務(wù)供應(yīng)商是否具備充分的網(wǎng)絡(luò)安全保障機(jī)制。具體來(lái)講,這很可能取決于該公司是否已經(jīng)實(shí)施英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(簡(jiǎn)稱NCSC,隸屬于GCHQ)于上周日發(fā)布的《NIS指令:頂級(jí)目標(biāo)準(zhǔn)則》。
英國(guó)政府方面同時(shí)指出,新的監(jiān)管機(jī)構(gòu)亦將能夠評(píng)估各關(guān)鍵行業(yè),旨在確保計(jì)劃的健全度水平。
NISD的核心要求歐盟NISD中的核心部分體現(xiàn)在第14條:安全要求與事件通報(bào)。其中規(guī)定:“各成員國(guó)應(yīng)確?;A(chǔ)服務(wù)運(yùn)營(yíng)商采取適當(dāng)且適度的技術(shù)與組織措施,從而管理網(wǎng)絡(luò)及信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)。”
英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)準(zhǔn)則指出,上述目標(biāo)可通過(guò)確保四類頂級(jí)目標(biāo)遵循14項(xiàng)安全原則的方式實(shí)現(xiàn),這四類頂級(jí)目標(biāo)包括:
管理安全風(fēng)險(xiǎn);
抵御網(wǎng)絡(luò)攻擊;
檢測(cè)網(wǎng)絡(luò)安全事件;
最大程度降低網(wǎng)絡(luò)安全事件影響。
在此之后,各項(xiàng)目標(biāo)又被進(jìn)一步拆分為一系列普適性安全原則。NCSC方面表示:“每一項(xiàng)原則都闡述了需要實(shí)現(xiàn)的強(qiáng)制性安全成果。”
這四項(xiàng)目標(biāo)當(dāng)中,只有一項(xiàng)傳統(tǒng)網(wǎng)絡(luò)安全觀點(diǎn)——即抵御網(wǎng)絡(luò)攻擊——提到商業(yè)與重要組織之間的差異。對(duì)于前者,主要以個(gè)人信息及盈利能力為運(yùn)營(yíng)動(dòng)機(jī); 對(duì)于后者,運(yùn)營(yíng)連續(xù)性(或恢復(fù)能力)則更為重要。Mimecast公司安全產(chǎn)品管理總監(jiān)史蒂夫·馬龍?jiān)u論稱,“這項(xiàng)立法明確強(qiáng)調(diào)了這一舉措不再屬于單純的保護(hù)性網(wǎng)絡(luò)安全思維。強(qiáng)大的業(yè)務(wù)連續(xù)性策略正得到前所未有的重視,旨在確保各組織機(jī)構(gòu)能夠在攻擊期間繼續(xù)運(yùn)行,并在事后快速實(shí)現(xiàn)恢復(fù)。”
抵御網(wǎng)絡(luò)攻擊目標(biāo)同時(shí)承認(rèn),單憑技術(shù)因素并不足以構(gòu)建起完整的解決方案。舉例來(lái)說(shuō),其中的B1原則面向政策及程序,B6原則負(fù)責(zé)處理員工意識(shí)與培訓(xùn)工作。
安全意識(shí)培養(yǎng)仍是重中之重Cyber Rik Aware公司創(chuàng)始人兼CEO斯蒂芬·伯克表示強(qiáng)烈支持“運(yùn)營(yíng)連續(xù)性”。他指出,關(guān)鍵基礎(chǔ)設(shè)施的主要威脅來(lái)源為民族國(guó)家攻擊者,而不僅僅是普通網(wǎng)絡(luò)犯罪分子。民族國(guó)家通常會(huì)利用‘人’這一因素進(jìn)行攻擊,例如沙特石油公司曾因攻擊者入侵而導(dǎo)致35000臺(tái)設(shè)備遭到影響,而其根源僅僅是一位該公司員工點(diǎn)擊了一封魚(yú)叉式釣魚(yú)郵件中的鏈接,因?yàn)檫@項(xiàng)不經(jīng)意的操作,令全球約十分之一石油供應(yīng)陷入風(fēng)險(xiǎn)之中。這再次強(qiáng)調(diào)了一項(xiàng)事實(shí),即無(wú)論機(jī)構(gòu)規(guī)模多么龐大,無(wú)論現(xiàn)有防御技術(shù)多么復(fù)雜,其仍然需要幫助員工意識(shí)到自身所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn),并了解攻擊者究竟如何突破層層防范。”
《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》(NISD)關(guān)注的并不只有網(wǎng)絡(luò)攻擊與數(shù)據(jù)丟失。英國(guó)政府宣稱,NISD“還將涵蓋對(duì)IT體系造成影響的其它威脅,包括電力中斷、硬件故障以及環(huán)境危害等等。根據(jù)新的措施,網(wǎng)絡(luò)與信息系統(tǒng)(簡(jiǎn)稱NIS)指令將涵蓋WannaCry以及近期出現(xiàn)的一系列高關(guān)注度系統(tǒng)故障事件。這些事件必須被上報(bào)至監(jiān)管機(jī)構(gòu),并由監(jiān)管機(jī)構(gòu)評(píng)估受影響組織是否擁有適當(dāng)?shù)陌踩胧?,且有?quán)發(fā)布具有法律約束力的指令,從而提高安全性并在適當(dāng)情況下處以罰款。”
這就帶來(lái)了新的問(wèn)題。大多數(shù)重要行業(yè)擁有客戶數(shù)據(jù)庫(kù),因此可能需要遵循GDPR、NISD以及其它各類現(xiàn)有行業(yè)內(nèi)特定法規(guī)。ThinkMaarble公司CEO安迪·麥爾斯警告稱:根據(jù)這項(xiàng)新的立法,企業(yè)可能同時(shí)受到GDPR、政府以及監(jiān)管機(jī)構(gòu)的處罰,這意味著其中存在雙重甚至是三重風(fēng)險(xiǎn)。
英國(guó)政府在答復(fù)文件中規(guī)定了不同重要部門(mén)的對(duì)應(yīng)監(jiān)管機(jī)構(gòu)(主管部門(mén))。這一角色通常由政府本身扮演,即對(duì)應(yīng)部長(zhǎng)——不過(guò)其中數(shù)字服務(wù)供應(yīng)商的主管部門(mén)與GDPR同樣為指定為英國(guó)信息專員辦公室(ICO)。這意味著一旦部長(zhǎng)人選有所變化,很有可能導(dǎo)致混亂及一致性缺失; 此外,政治形勢(shì)的變化也可能對(duì)執(zhí)法水平造成直接影響。麥爾斯建議稱,NCSC應(yīng)與信息專員開(kāi)展合作,帶著制定制裁性措施,監(jiān)管機(jī)構(gòu)則負(fù)責(zé)為其提供反饋信息才是理想的職能分配方式,而非二者顛倒。
企業(yè)還需做大量工作NISD還面臨著被GDPR所覆蓋的危險(xiǎn)。更令人擔(dān)憂的是大多數(shù)相關(guān)組織還沒(méi)有做好在2018年5月的最后期限之內(nèi)迎接新法令的準(zhǔn)備。麥爾斯警告稱,“27%的受訪者(政府咨詢期間)表示沒(méi)有計(jì)劃實(shí)施更進(jìn)一步的安全措施,31%的受訪者不知道所在組織是否會(huì)做出相應(yīng)改變。這意味著對(duì)企業(yè)的安全教育還有大量工作要做,特別是強(qiáng)調(diào)保護(hù)其自身免受網(wǎng)絡(luò)攻擊影響的重要意義。
思科公司EMEAR數(shù)據(jù)保護(hù)與隱私官勞瑞娜·馬西亞諾在接受采訪時(shí)表示,隱私成熟度不高的組織所遭受的損失要遠(yuǎn)遠(yuǎn)大于具備成熟隱私制度的組織,這意味著遵循NISD規(guī)定“不應(yīng)只是一種出于逃避罰款的行為,而應(yīng)代表著相關(guān)組織機(jī)構(gòu)愿意采取更為嚴(yán)格的準(zhǔn)則,從而保障自身長(zhǎng)期經(jīng)濟(jì)利益并保護(hù)客戶數(shù)據(jù)。”
這意味著英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)準(zhǔn)則應(yīng)被視為重要行業(yè)的行為基準(zhǔn),甚至采取高于這一水平的保障舉措。而相關(guān)工作的第一步,無(wú)疑在于分析現(xiàn)有安全控制措施與NCSC準(zhǔn)則要求之間的差距。
Context Information Security公司網(wǎng)絡(luò)安全首席咨詢師羅伯特·奧評(píng)論表示,重要的是,要想滿足《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》這(NISD)四項(xiàng)目標(biāo)與14項(xiàng)原則,則必須實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)成熟度。而這樣的網(wǎng)絡(luò)成熟度要求遠(yuǎn)遠(yuǎn)超出規(guī)定性的、基于合規(guī)要求的實(shí)踐方針。即指令涵蓋下的各職能實(shí)體將需要以等同于GDPR的態(tài)度高度重視NISD,至少二者罰款金額都比較大。這就要求各基礎(chǔ)服務(wù)運(yùn)營(yíng)商與數(shù)字服務(wù)供應(yīng)商評(píng)估其現(xiàn)有網(wǎng)絡(luò)安全與適應(yīng)能力,找出自身與NISD要求間的差距,同時(shí)制定改進(jìn)計(jì)劃以彌補(bǔ)這么差距,最終逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全水平的超越。