不久前，網(wǎng)絡(luò)安全還是一個人們感興趣的邊緣話題。現(xiàn)在，成為頭條新聞的違規(guī)行為影響著大量的普通公民。整個城市都發(fā)現(xiàn)自己受到網(wǎng)絡(luò)攻擊。在很短的時間內(nèi)，網(wǎng)絡(luò)在國家話語中占據(jù)了重要地位。如今，政府、監(jiān)管機構(gòu)和企業(yè)必須共同努力應(yīng)對這一日益嚴重的威脅。

那么聯(lián)邦政府如何加強關(guān)鍵基礎(chǔ)設(shè)施的安全呢？看起來他們正在使用胡蘿卜加大棒的方法。

早在 2022 年 3 月，《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》(CIRCIA) 就已簽署成為法律。它要求包括金融服務(wù)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施公司向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）報告網(wǎng)絡(luò)安全事件，例如勒索軟件攻擊。就是那根棍子。

現(xiàn)在，聯(lián)邦能源監(jiān)管委員會推出的新的自愿網(wǎng)絡(luò)激勵框架將允許公用事業(yè)公司申請基于激勵的費率恢復(fù)。當(dāng)公司進行某些經(jīng)過資格預(yù)審的網(wǎng)絡(luò)安全投資或加入威脅信息共享計劃時，他們可以做到這一點。新規(guī)則有助于克服關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商面臨的最大障礙之一：缺乏資金投資網(wǎng)絡(luò)安全。那就是胡蘿卜。

隨著關(guān)鍵基礎(chǔ)設(shè)施成為威脅行為者越來越有吸引力的目標(biāo)，這種胡蘿卜加大棒的方法是否足夠？

監(jiān)管即將出臺

在美國，兩項網(wǎng)絡(luò)安全法規(guī)將影響商業(yè)領(lǐng)域的多個行業(yè)。首先，CIRCIA要求包括金融服務(wù)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施公司向 CISA 報告網(wǎng)絡(luò)安全事件，例如勒索軟件攻擊。

在最終規(guī)則生效之前，無需根據(jù) CIRCIA 報告網(wǎng)絡(luò)事件和勒索軟件。盡管如此，CISA 仍鼓勵關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商在最終規(guī)則生效之前自愿分享網(wǎng)絡(luò)事件信息。

此外，美國證券交易委員會（SEC）提出了一項規(guī)則，要求上市公司報告網(wǎng)絡(luò)安全事件、其網(wǎng)絡(luò)安全能力以及董事會的網(wǎng)絡(luò)安全專業(yè)知識和監(jiān)督。

SEC 的 2022 年秋季監(jiān)管和放松監(jiān)管行動統(tǒng)一議程提出了以網(wǎng)絡(luò)安全為重點的議程項目，包括：

• 解決注冊人網(wǎng)絡(luò)安全風(fēng)險和相關(guān)披露的規(guī)則
• 規(guī)則修訂，以便更好地向投資者通報注冊人的網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略和治理，并及時通知重大網(wǎng)絡(luò)安全事件
• 加強基金和投資顧問與網(wǎng)絡(luò)安全風(fēng)險相關(guān)的披露和治理的規(guī)則。

網(wǎng)絡(luò)攻擊報告不足

網(wǎng)絡(luò)攻擊的受害者包括一些最大的能源供應(yīng)商、保險公司和金融服務(wù)公司。與此同時，F(xiàn)BI 報告稱，2022 年收到了超過 80 萬起與網(wǎng)絡(luò)犯罪相關(guān)的投訴。根據(jù)聯(lián)邦調(diào)查局互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 的數(shù)據(jù)，總損失超過 100 億美元，遠超 2021 年的 69 億美元。

然而，這些統(tǒng)計數(shù)據(jù)僅代表所有網(wǎng)絡(luò)犯罪活動的一小部分。此前，F(xiàn)BI 估計其收到的投訴僅占所有網(wǎng)絡(luò)犯罪的 10-12%。其他研究也得出結(jié)論，少報網(wǎng)絡(luò)犯罪——即使法律強制披露——似乎是常態(tài)。Bitdefender最近的一份報告顯示，超過 40% 的受訪 IT 安全專業(yè)人士表示，他們被告知要對網(wǎng)絡(luò)違規(guī)行為保持沉默。美國受訪者中這一數(shù)字增至 71%。

網(wǎng)絡(luò)犯罪未被舉報的原因有很多。首先，一些組織甚至可能沒有意識到他們是攻擊或違規(guī)的受害者。其他公司由于聲譽問題或擔(dān)心客戶或投資者的強烈反對而避免報告網(wǎng)絡(luò)犯罪。公司也可能認為支付贖金是解決問題的最簡單途徑。對訴訟的恐懼也可能阻止公司報告數(shù)據(jù)泄露事件。

然而，考慮到 CIRCIA 和 SEC 計劃的網(wǎng)絡(luò)披露法規(guī)，這些借口可能不再可行。

更多正向激勵

美聯(lián)儲并沒有使用單一的方法來改善關(guān)鍵基礎(chǔ)設(shè)施對網(wǎng)絡(luò)攻擊的響應(yīng)。今年，公用事業(yè)公司可能能夠通過增加消費者電費來為某些網(wǎng)絡(luò)安全投資提供資金。這是幫助資金短缺的公用事業(yè)所有者和運營商保護自己免受網(wǎng)絡(luò)威脅的努力的一部分。

該倡議是一個由聯(lián)邦能源管理委員會支持的自愿網(wǎng)絡(luò)激勵框架。該計劃符合拜登政府兩黨基礎(chǔ)設(shè)施投資和就業(yè)法案的要求。該計劃將使公用事業(yè)公司能夠獲得基于激勵的費率恢復(fù)。為了獲得資格，公用事業(yè)公司必須進行經(jīng)過資格預(yù)審的網(wǎng)絡(luò)安全投資，例如加入威脅信息共享計劃。

一般來說，公用事業(yè)公司必須遵守批準(zhǔn)的電價，并且只能在限額內(nèi)收費。這些費率受到嚴格監(jiān)管。因此，公用事業(yè)公司不能隨意提高收費來彌補成本。然而，新的費率恢復(fù)計劃提供了一種替代方案來幫助支付安全工具的費用。

公用事業(yè)公司通過組合費率組成部分來收回提供電力服務(wù)的成本，這些組成部分成為客戶每月的電費。費率由州監(jiān)管機構(gòu)設(shè)定，并根據(jù)司法管轄區(qū)、公用事業(yè)和客戶類別而有所不同。一般來說，費率設(shè)計要平衡經(jīng)濟效益、公平公正、客戶滿意度、公用事業(yè)收入穩(wěn)定性以及客戶價格和賬單穩(wěn)定性。

現(xiàn)在，網(wǎng)絡(luò)安全已成為方程式的一部分。這表明對網(wǎng)絡(luò)攻擊的擔(dān)憂已經(jīng)深入到社會結(jié)構(gòu)中。

網(wǎng)絡(luò)安全投資激勵措施

聯(lián)邦政府繼續(xù)尋求改善基礎(chǔ)設(shè)施安全的方法，這已成為白宮的首要任務(wù)。關(guān)鍵基礎(chǔ)設(shè)施對于攻擊者來說是一個誘人的目標(biāo)，尤其是國家資助的組織。

《聯(lián)邦公報》將以下來源視為潛在的網(wǎng)絡(luò)安全投資，將顯著改善公用事業(yè)公司的安全狀況：

1. NIST 特別出版物 (SP) 800-53 “信息系統(tǒng)和組織的安全和隱私控制”目錄中列舉了安全控制。
2. 安全控制滿足 NIST 網(wǎng)絡(luò)安全框架中的目標(biāo)。
3. 美國國土安全部 (DHS) 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 或能源部 (DOE) 的具體建議。
4. CISA Shields Up活動的具體建議。
5. 參與網(wǎng)絡(luò)安全風(fēng)險信息共享計劃（CRISP）或類似的網(wǎng)絡(luò)安全威脅信息共享計劃。
6. 最高成熟度指標(biāo)級別的網(wǎng)絡(luò)安全能力成熟度模型 (C2M2)領(lǐng)域。

顯然，業(yè)主和運營商必須提高網(wǎng)絡(luò)防御能力。鑒于公用事業(yè)預(yù)算受到監(jiān)管，聯(lián)邦政府明白必須提供新的資金來源。但這筆賬單將由電力消費者支付。這進一步證明了網(wǎng)絡(luò)安全如何影響經(jīng)濟穩(wěn)定。看來我們所有人都必須為更強的網(wǎng)絡(luò)安全做出犧牲。