英国行业领导者针对网络攻击释放飓风级规模
快速阅读: 《The Register》消息,网络安全监控中心(NCSC)在英国运行一年后于2024年初正式运作,旨在通过类似萨菲尔-辛普森飓风等级的系统对网络安全事件进行分类。该系统按1到5级划分事件严重性,5级最严重。NCSC技术委员会负责分类,考虑损失金额和受影响组织数量。系统旨在解决保险理赔中的模糊性,提供独立解决方案。短期目标是帮助保险业,长期则希望对政策制定者和公众有益。
一个世界首创的组织在英国经过一年的孵化期后,已经投入运行,该组织旨在对网络安全事件的严重性进行分类。网络安全监控中心(网络安全监控中心)是由网络安全保险行业人士和英国几位顶尖的网络安全思想领袖共同发起的。自2024年1月起,网络安全监控中心开始公开宣传。该系统引入了一种类似于萨菲尔-辛普森飓风等级的严重性分类系统,用于区分对受影响地区造成损害程度不同的最严重的计算机攻击。系统性事件指由单一源头引发的事件,如供应商遭到攻击,但对许多其他组织产生重大影响。比如“不佩蒂亚”和最近的“暴动”事件。尽管近年来行业模型有所改进,系统性风险依然是网络安全保险领域的一大问题。没有明确概念,双方无法清楚理解保单条款和条件,也无法确定何时或是否应支付赔偿。网络安全监控中心的系统旨在解决此问题,并防止由此可能产生的任何潜在诉讼,提供一个来自独立非营利组织的解决方案。该系统按1到5的等级对网络安全事件进行分类,5级为最严重。每个事件都将由网络安全监控中心的技术委员会分类,该委员会由英国国家网络安全中心(国家网络安全中心)创始人兼首席执行官西里安·马丁领导,包括来自行业、学术界以及皇家联合服务研究所(RUSI)智库的专家。当事件显示出超过1亿英镑(1.236亿美元)的损失迹象,多个英国组织受到影响,并且可用于评估的信息可用时,委员会成员将临时召开会议。方法论文件指出,成员们将集合半天时间发布两个成果:一个严重性分类(1-5)和一份详细说明决策如何得出、哪些数据支持决策的报告,在某些情况下还会附上关于信心程度的评论。财务影响门槛分别是1000万英镑、1亿英镑、100亿英镑和500亿英镑。受影响组织的数量门槛分别是270个、2700个、27000个和136000个,这些数字分别代表英国公共和私营部门总组织数的0.01%、0.1%、1%和5%。只有那些至少花费了1000英镑的组织才有资格被纳入其中。指定的严重级别随着所有受影响组织遭受的损失增加而提高,同时确认受事件影响的组织数量也增加。
在启动活动上,网络安全监控中心表示,对去年重大事件进行测试时,“被盗MOVEit数据”的泄露将获得一级严重性评分,考虑到其有限的英国足迹。对于“新诺维斯”袭击事件,尽管有数千项NHS程序需要重新安排并且造成了巨大的人类影响,但由于只影响了一个行业的单一部分,因此仅被评为二级。这被认为是一个狭隘的焦点,不是真正的系统性事件。“暴动”事件却获得了最高的三级评分。虽然这不是由恶意方造成的,而且每个组织的成本低于其他事件,但它影响了更大比例的英国,因此被认为是最具系统性的三个事件之一。英国加强人工智能防御以应对日益增长的网络威胁。五级事件的一个例子可能是俄罗斯的“不佩蒂亚”行动。假设四级事件可能是“暴动”,如果停机是由攻击而不是故障传感器更新引起的。如果是恶意的,那么组织将需要更长时间才能恢复,从而导致更高的成本,使其升级一个等级。实际应用尽管最初是为了帮助保险业,系统的首要应用似乎仍然在这个领域。但网络安全监控中心正在将其分类矩阵定位为可以带来更广泛利益的东西。网络安全监控中心的长期愿景是使政策制定者和公众受益。拥有五年的网络安全监控中心分类记录有助于区分最严重的数据泄露与其他不太可能导致重大后果的数据泄露。网络安全监控中心并不认为自己会直接影响立法,但它希望能够提供一种更细致的理解,这可能会影响未来的法规。马丁比较了2023年8月披露的两次泄露事件,以说明为什么受害者的数量不是衡量严重性的有效标准。英国选举委员会的泄露影响了约4000万人,而警察服务北爱尔兰(PSNI)的泄露只影响了几千人,但后者仍被视为更严重,因为直接可能导致对警员造成伤害的风险更高。网络安全监控中心首席执行官威尔·梅斯表示,如果要建立一个保障措施,那么触发额外资金释放的机制也必须明确规定,这正是网络安全监控中心发挥作用的地方。短期内,马丁承认网络安全监控中心并非最终版本,有些方面需要改进。“因此,我们希望通过尽可能透明的方式来做这件事,不仅帮助确保政策制定者和公众更好地理解网络犯罪。” 在启动活动上,专家们的看法是积极的,但肯定有一种观点认为网络安全监控中心系统的有效性需要经过长时间的证明。当被问及该组织是否预期网络安全监控中心系统的合法性会在法庭上受到质疑时,鉴于网络安全监控中心承认其系统未来可能会用于防止与保险相关的诉讼,梅斯回到了网络安全监控中心与萨菲尔-辛普森飓风等级之间的相似性,他说这种等级从未受到过挑战。长期目标是在合格事件发生后30天内发出严重性分类,尽管这不是承诺。网络安全监控中心将在2025年瞄准45天的发布时间窗口,从2026年起缩短至30天。
(以上内容均由Ai生成)
