2023年12月8日,国家网信办发布了《网络安全事件报告管理办法(征求意见稿)》(以下简称《管理办法》)。《管理办法》共计14条,对于国内网络安全事件报告做了明确规范,同时指出在发生网络安全事件时,运营者应当及时启动应急预案进行处置。
《管理办法》发布后在网安行业引起广泛关注,FreeBuf特邀多位行业人物,对此进行深入解读,期待能够给从业者带来启发。
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《关键信息基础设施安全保护条例》
地方网信部门负责统筹协调本行政区域内网络安全事件报告工作和相关监督管理工作。
毫无疑问,《管理办法》最核心的关键词就是1小时内上报。《管理办法》第4条指出,按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告(《网络安全事件分级指南》点击阅读原文查看)。
这也是我国首部对于网络安全事件上报有如此明确的时间规定的法规,进一步强调了安全事件上报的紧迫性。当下网络安全事件频频发生,为了减小破坏损失,并降低响应的成本,在短时间内完成应急响应处置十分有必要。
针对不同归属和性质的网络和系统,报告的单位也不相同:
网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
在前文提及的四部上位法中,或多或少具有网络安全事件报告的条款,但并未形成完全一致。例如《网络安全法》第五十条规定,网络运营者发现其网络存在安全缺陷、漏洞或者遭受攻击、入侵等影响网络安全正常运行的情况,应当立即采取补救措施,并按照规定向有关主管部门报告。
《数据安全法》第三十六条规定,数据处理者发生或者可能发生数据安全事件的,应当立即启动应急预案,采取补救措施,按照规定向有关主管部门报告,并告知数据提供者和受影响的个人。
《管理办法》的颁布,首次明确运营者应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容:
(一)事发单位名称及发生事件的设施、系统、平台的基本情况;
(二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
(三)事态发展趋势及可能进一步造成的影响和危害;
(四)初步分析的事件原因;
(五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;
(六)拟进一步采取的应对措施以及请求支援事项;
(七)事件现场的保护情况;
(八)其他应当报告的情况。
事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
奖惩措施延续了网络安全行业的一般规则,即不但需要对企业进行处罚,还需要运营者、直接责任人、负责的主管人员进行处罚。
值得注意的是,《管理办法》第十条指出,因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚,即在法定处罚范围内采用较重的处罚措施。
第十一条也明确,发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
这更符合网络安全行业的现状。很多时候不是运营者没有做好网络安全防护体系,而是网络攻击者实力太强,或存在其他偶然性因素,因此以“是否出现安全事件”论成败并不合适,而是应该更关注运营者在过程中的努力。
刘志诚——乐信集团信息安全中心总监
乐信集团信息安全中心总监刘志诚表示,近期阿里,滴滴等企业大范围的可用性事故,以及勒索病毒的猖獗对我国网络安全态势造成了严重影响。这次网信办出台《管理办法》是对目前网络安全严峻形势的回应。也是网络安全主管部门对网络安全报告制度体系化建设的关键一环,从《漏洞管理办法》到《安全事件报告管理办法》,完善了风险、事件的闭环报告管理机制。
相对于漏洞的分类,分级,涉及到公共技术栈安全漏洞与风险的威胁情报共享机制,安全事件的报告机制,需要定义和完善报什么,谁来报,怎么报的机制和流程。
1小时-24小时-5天,事件发生上报的及时性对控制事件的发展至关重要,因此要求1小时上报行业和属地网信部门和公安机关,1小时上报国家网信办和国务院公安机关,强调及时性。对于初步分析,控制措施,影响预估可以24小时内上报,对于处置后的总结要求5个工作日上报,强化报告从发生到总结的闭环管理。
两个上报对象包括为运营者提供服务的组织和个人,以及鼓励社会组织和个人的上报,未限定事件发生单位,避免漏报,瞒报,扩大保送范围,提升网络安全事件的处置范围和效率,降低网络安全事件的损害和影响十分必要。
为了降低上报引起的责任问题和处罚未按要求的上报,规定了奖惩措施,对迟报、漏报、谎报、瞒报,造成重大危害,运营者责任人,从众处罚。对未上报,责令改正,依法处分,涉嫌犯罪追究刑事责任。对采取合理保护措施,按照要求上报,可免责。降低了上报压力,提升了上报意愿。
中国移动上海产业研究院网络与信息安全牵头人唐双林表示,《管理办法》首先明确了运营企业组织的上报责任。在发生网络安全事件时要及时上报,对于迟报、漏报、谎报或者瞒报网络安全事件造成重大危害的,从重处罚!
其次,《管理办法》明确了企业组织上报事件的详细内容及时限要求,并为不同企业组织规定了不同的报告途径。作为电信运营商企业,不仅要向网信工作机构上报,还要向主管电信业务的工信部或者属地管局上报。涉嫌犯罪的,还要向公安机关报告。《管理办法》能给企业组织在遇到危害网络安全事件时,提供一个明确的指导,让大家有章可循。
《管理办法》通过明确较大、重大或特别重大网络安全事件的1小时上报时限及5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结要求,也给运营者带来不小的运营压力。企业需要建立7X24小时的安全应急响应机制,专人值守,不能再流于形式。
通过问责处罚要求,也促使企业高层更加重视安全运营工作,投入更多资源,切实保障企业安全稳定地运行。在一定程度上,会促进国内网络与信息运营业务的发展,带动国内信息安全技术的技术发展,吸引社会各界的关注和资源投入,进一步增强国家整体安全实力,以新安全格局保障新发展格局。
具体表现为:首先,该管理办法明确要求在发生较大或重大网络安全事件时,网络运营者必须及时向主监管单位报告,迟报或瞒报都将受到处罚,这就要求网络运营者不能只关注满足等保等合规要求,他还必须考虑所部署的网络安全防御解决方案能否真正解决实际的网络安全问题,必须尽量减少网络安全事件的发生概率,在发生网络安全事件后能够快速恢复,并尽量减小系统损失和负面影响。
其次,从网络安全厂商角度来看,网络运营者对网络安全产品、服务、解决方案的高要求,将迫使网络安全厂商在网络安全产品和服务质量上下功夫,加大研发投入和技术创新,大力提升网络安全产品的网络攻击检测、应急响应和处置效果,真正解决用户的网络安全问题。
由于企业用户需要在1小时内向有关主管部门报告,确实会给网络运营者带来较大的压力,因为在发生网络安全事件后,用户需要在1小时内至少完成四项工作:包括确定事件的类别、确定事件的等级、启动网络安全应急预案,以及按照规定的网络安全事件报告表格完成事件上报,因此用户的网络安全运营工作压力会很大。
绿盟科技副总工程师林涛表示,从法规视角来看,《管理办法》的发布有助于推进网络安全事件报告管理制度的体系化。长期以来,各类网络安全法律、法规大多都有关于网络安全事件报告义务的规定,但不同法规的要求在报告机制、管辖范围等方面尚未完全衔接一致,影响了网络安全事件报告制度的整体性、体系化和统筹管理。
从运营者视角来看,有助于提高网络安全事件报告工作的可操作性。原有的报告机制分散性较强,且在报告主体、报告内容、报告时限等方面的要求也存在不够具体的情况。这些对于全面落实网络安全事件上报要求,带来一定困扰;且对于不履行上报义务行为的处罚不够明确,也影响了上报义务的主动性。
从监管模式来看,将社会综治经验融入制度要求。规定了第三方服务单位负有“提醒”和“报告”的义务,可视为对“枫桥经验”管理模式的实践落地。有助于调动各方力量、尤其是网络安全供应商对相关工作的参与度,将网络安全事件影响降到最低。这也不失为《管理办法》在模式创新方面的一个亮点。
《管理办法》发布可能会给企业带来压力,考验运营者对于相关合规要求的知悉度。如哪些网络安全事件属于“较大、重大或特别重大”,如何判定这些事件是否发生,以及应该相应启动何种应急预案等。
对于运营者网络安全事件的感知和处置能力也是一种考验。《管理办法》明确要求运营者需要上报的6项内容,除了前两项属于事件基本情况外,其余四项均对运营者的网络安全运维能力提出了较高要求,涉及网络安全威胁情报监测能力、事件分析研判能力、网络安全工作专业化程度等。