英国威胁根据新的网络法案每天罚款 100 英镑
快速阅读: 《The Register》消息,英国技术大臣披露网络安全与韧性法案详情,拟对未应对特定威胁的行为处以高额罚款。法案旨在强化关键服务网络防御,包括扩大监管范围、增强执法权及灵活调整规定。专家提醒,实现网络安全需持续投入资源与努力。
英国技术大臣今日首次详尽披露了政府网络安全与韧性(CSR)法案的全部内容,承诺对未能应对特定威胁的行为处以每日最高10万英镑的罚款。该法案预计在今年晚些时候提交议会审议,早在今年7月的国王演讲中就有所提及。其主要目标是强化2018年《网络与信息安全指令》(NIS 2018)的规定,并提升国家关键服务抵御网络威胁的能力。
彼得·凯尔今日详细介绍了该法案的具体内容。凯尔指出,CSR法案包含三大核心支柱:扩大监管范围以覆盖更多类型的组织;授予监管机构更强的执法权力;确保政府能够迅速调整规定以适应不断变化的威胁。此外,还有一些正在讨论的修正案可能会在立法通过正式程序时加入到已确认的支柱之中。这些修正案包括将数据中心纳入监管范围、制定统一的战略目标集,以及赋予政府向相关组织发出临时指示的权力。后者意味着政府可以命令相关组织采取特定的安全改进措施来应对某一威胁或持续事件,这也可能是潜在罚款产生的地方。例如,如果一家托管服务提供商(MSP)——IT供应链的重要组成部分——未能在政府规定的期限内修补一个广泛利用的漏洞并因此遭受攻击,那么它可能面临每天高达10万英镑或其营业额10%的罚款,直至漏洞被修复。
“恢复能力并没有以应有的速度提高,这可能导致严重的实际影响,”凯尔说道,“政府的网络安全立法计划将解决我们在网络防御中的弱点,最大程度地减少攻击的影响,并提升我们关键基础设施、服务和数字经济的恢复能力。”
三大支柱在CSR法案中即将出现的内容与国王演讲中透露的信息相比变化不大。我们知道MSP将被纳入监管范围。它们本应于2022年的拟议更新中被纳入NIS法规,但这些规定至今未生效。凯尔引用了针对MSP的“云跳跃者”攻击以及最近对国防部人员系统的袭击作为例子,说明了针对MSP的攻击如何影响关键服务。我们还了解到监管机构将获得额外的权力,以确保他们所监管的行业能够满足新立法的要求,并引导相关实体达到合规标准。其中很大一部分将涉及强制向监管机构和国家网络安全中心(NCSC)报告事件,并要求更多类型的事件(非严重级别)在24小时内报告。重大违规行为的初步报告必须在一天内提交,而完整的事件报告则需在72小时内提交给监管机构和NCSC。与欧盟的NIS2和美国的CIRCIA相比,它们仅在早期报告阶段设置了72小时的时间窗口,相比之下,英国的强制事件报告要求比其地缘政治伙伴更为严格。此外,信息专员办公室(ICO)还将获得更大的信息收集权力。
第三个支柱——赋予政府灵活调整规定的权力以应对新出现的威胁——是三个支柱中最不为人熟知的一个,在国王演讲中并未提及。这可能会迅速扩大监管范围,涵盖更多组织,必要时改变监管机构的责任,或者为相关实体引入新的要求。“拟议的措施将通过提供及时更新机制确保网络安全立法保持相关性和有效性,”凯尔表示,“这将增强英国的监管框架,特别是在国家安全和经济稳定至关重要的领域。这些措施也提供了灵活性,以适应和适应关键国家基础设施(CNI)领域的变化。最终,这项措施将支持并更好地维持监管的适度性,确保对基本服务的持续保护,从而造福政府和公众。”
可能的补充
除了政府可能介入应对系统性事件并进行罚款的可能性外,CSR法案可能还包括将数据中心纳入监管范围的条款。尽管这不是国王演讲中考虑的因素之一,但有迹象表明数据中心将受到安全法规的约束,最明显的例子是英国在9月份将其列为关键国家基础设施(CNI)。鉴于CSR法案旨在改善英国最关键行业的网络弹性,将数据中心视为与医院和能源供应商类似的保护对象是有道理的。最近的研究显示,在英国管理的224个托管数据中心设施中,由68家运营商运营的182个站点和64家运营商将被纳入CSR法案的监管范围。
法案的最后一个可能补充是赋予政府发布战略优先事项声明的权力,该声明将作为实施规定的统一目标集。其目的是每三到五年更新一次该声明,以确保各监管机构执法的一致性。
对网络弹性的深切关注
在今日披露法案细节时,技术大臣表示,英国正面临“前所未有的关键基础设施(CNI)威胁”,并提到了近期困扰该国的各种攻击。Synnovis、南方水务、地方政府以及美国和乌克兰的相关机构都被提及,这只是近期攻击全貌的一部分。凯尔在接受《每日电讯报》采访时说,在英国工党当选后不久,他收到了国家情报部门首脑关于关键服务威胁的简报,这次会议让他对网络安全状况感到“深感忧虑”。
“我对我们已知存在的某些漏洞感到非常震惊,然而却没有任何行动,”他说。举例说明问题的规模,再保险公司蔡斯的数据表明,与前一年相比,2023年英国公用事业公司的攻击增加了586%。此外,NCSC在12月发布的年度审查报告显示,其被召来处理的全国重大事件数量为89起,而上一报告年度为62起。其中12起属于一级事件——需要内阁办公室紧急反应室(COBR)召开会议的国家级网络紧急情况。
评论CSR法案时,NCSC首席执行官理查德·霍恩表示:“网络安全与韧性法案是一个里程碑式的时刻,它将确保我们能够改善依赖的关键服务的网络防御,如水、电力和医疗保健。”
“这是迈向更强大、更具动态性监管的重要一步,不仅跟得上新兴威胁,还尽可能地使我们的对手难以应对。通过加强他们的网络防御并遵循NCSC的指导和工具,如网络安全评估框架、网络安全基础和主动网络防御,各种规模的组织都将更好地准备应对日益复杂的挑战。”
然而,法律事务公司Freeths的争议管理合伙人威廉·里士满-科根警告说:“即使所有新规则指向的所有组织都有预算、技术能力和领导力来投资于更新其基础设施以应对当前和未来的网络威胁浪潮,将所有系统同步仍可能是一个耗时且昂贵的过程。随着网络威胁态势不断发展,这些时间与预算的双重投资需要作为滚动承诺纳入其中——实现网络安全状态不是‘一蹴而就’的。同样重要的是,需要开展大量工作让这些国家重要机构中的工作人员理解网络安全只有最强的部分才能确保安全,而且每个人都需要在保障这些组织安全方面发挥作用。”
(以上内容均由Ai生成)
