编者按
根据英国采用的nis指令,关键基础设施提供商如果不能保护关键基础设施免受网络攻击造成损失,将面临1700万英镑的罚款或高达4%的年营业额。
正如商业公司必须保护欧盟gdpr下的客户数据,一旦有所损失或将面临巨额罚款一样,现在电力、水、能源、银行、金融市场、交通和卫生基础设施提供商如果不能保护关键基础设施免受网络攻击造成的损失,同样也将面临罚款1700万英镑或高达4%的年营业额。
尽管通过投票的方式离开了欧盟,英国政府仍然表示支持欧盟网络信息系统安全(nis)的指令,以确保英国的基本网络和服务安全,而英国数字部长马特汉考克(matt hancock)宣布,政府计划从2018年5月起执行该指令,使其作为数字、文化、媒体和体育部咨询的一部分。
汉考克表示,执行nis指令的目的是使英国的基本服务和基础设施准备应对日益增长的网络攻击风险,并对抗其他威胁(如电源故障和环境危害)。该指令建议:
成员国需要进行适当的准备工作,可以通过计算机安全事故应急小组(csirt)和国家主管的国家信息系统当局进行。
需要各成员国之间的合作,建立合作小组,支持和促进战略合作和信息交流。他们还需要设立一个csirt网络,以促进针对特定网络安全事件的迅速有效的业务合作,并分享有关风险的信息。
跨部门安全文化,对经济和社会至关重要,并严重依赖信通技术。被认定为基本服务经营者的企业,必须采取适当的安全措施,并向有关国家主管机关通报严重事件。主要数字服务提供商(搜索引擎、云计算服务和网络市场)必须遵守新指令下的安全和通知要求。
目前,“数据保护法”将信息专员办公室(ico)的罚款限额提高到50万英镑,增加额度显著。
如果英国国家医疗服务体系(nhs)在五月份被wannacry勒索病毒攻击时执行该指令的话,或将会面临巨额罚款。其他依赖传统系统的行业同样脆弱,ncsc首席执行官ciaran martin指出:“许多组织需要做更多的事情来增加他们的网络安全。
不过,政府发布的声明也表示,“罚款是最后的手段,它们不适用于那些对风险进行充分评估、采取适当的安全措施,并与相关主管部门合作但仍遭受攻击的运营商。”
它还补充说,cni运营商的操作人员将被要求:制定策略和政策来了解和管理其风险;实施安全防范措施,防范攻击或系统故障,包括发现攻击、开展安全监控、提高员工意识和培训; 一旦发生事件就立即报告;并且建立系统来确保它们能够在任何事件发生之后能够快速恢复,并具有响应和恢复系统的能力。
一些行业评论人士通过电子邮件发表了他们的观点,其中的关键点包括需要改变思维方式,包括cni,以及cni由于未能提供基础设施的可见性而导致准备不充分。
zonefox首席执行官jamie graves博士做了一项数据/服务比较,他认为,在一年的时间里,gdpr被广泛地使用。nisd也没有什么不同,它为关键基础设施提供了明确的指示和影响,这是确保打击网络犯罪的关键领域。
“5月的wannacry袭击就是一个为什么需要nisd的明确证据,企业需要保护自己的方式与手机商店和国家电网没有什么不同。数据是问题的关键,或者更确切地说,是对数据的认识。确保你拥有信息的网络可视性,以及访问它们的信息,在存储、移动或离开网络时,它就是防御任何攻击或潜在攻击的第一道防线。将它与报告系统结合起来,可以尽可能迅速地向有关部门发出警报,而可靠的备份将意味着基本服务将保持在线状态,并且保护自己处于更有利的地位。”
rsa安全公司的高级网络防御实践emea主管azeem aleem在一封电子邮件中表示:“我们的关键基础设施是至关重要的。保护它属于国家安全的问题,”但他指出,近年来只有旧的手工系统被“数字化”并连接起来,并指出:“这意味着多年前整个重点在物理安全方面的那些银行和零售业,他们遵守指令还有很长的路要走。
palo alto networks公司的副总裁兼emea地区首席安全官greg day专注于预防工作,他在电子邮件中说:“nis指令的一个重要组成部分是防止在关键服务中出现漏洞。我们已经看到许多组织陷入了接受这种情况的思维模式,并将精力集中在如何清理和管理这些违规事件造成的损害之后。这是不能接受的,尤其是当这些服务的任何破坏都会对社会和经济造成严重的、即时的直接影响时。”
他还说:“大多数关键服务提供商都认识到这一点,他们必须继续关注如何防范违规行为。因此,该声明及时地提醒了我们这方面的重要性,同时也为我们提供了一个机会,为我们提供实用的、充分利用行业知识和最佳实践的信息。组织必须开始接受最先进的网络安全功能,包括自动化,以减少风险,并防止在日益多样化的数字世界中的攻击。”
aleem建议:“这意味着要进行彻底的风险评估,了解系统之间的依赖关系,使用威胁检测来监控攻击,并发出警报,将结果与业务背景关联起来,以便优先考虑事件。”aleem补充说,对于cni来说,没有进行正确的测试可能会造成更多的伤害。
tripwire公司的系统工程经理(emea)dean ferrando来说,重点是实施要侧重于基础的防御体系,对于人员、流程和技术,企业采取必要的措施,可以大大降低遭受网络攻击和被罚款的风险,否则可能会使公司失去业务。
logrhythm公司的副总裁兼emea副总裁ross brewer说,“最近去们看到,wannacry对我们国家关键基础设施的攻击后果是不可想象的。”网络犯罪不再是一场游戏,涉及到黑客操纵人和计算机系统来获取有价值的数据或金钱。现在的风险要高得多,犯罪分子证明他们有能力破坏那些能有效削弱经济、国家稳定和令人担忧的生活服务。”
brewer继续说:“随着对我们基础设施的攻击变得越来越普遍,企业需要认真对待这些政府的提案。罚款数额很高,反映了今天网络犯罪分子的危险程度以及对我们国家造成的威胁。与传统的战争不同,网络攻击是‘看不见的’,而且往往容易忘记,直到你成为受害者,它们有可能造成更大的灾难性后果。为了避免这些罚款,确保他们的服务免受现代和未来的威胁,企业必须拥有能够在整个网络中提供深度、一致的可见性的情报,这样黑客就可以被阻止。”
webroot公司emea地区经理adam nash发邮件说:“我认为这表明了政府对网络犯罪的重视程度,以及这对英国基础设施和关键服务构成的威胁。我们已经开始看到一群网络犯罪分子向那些持有关键系统的企业发起有针对性的攻击,因为他们知道如果没有这些系统,这些公司就无法正常运转。这不再是随机的加密机器,而是将特定的资源离线使用,因为这样可以使获得赎金的机会更大。由于国家资助的网络罪犯也瞄准了像电力和卫生服务这样的关键资产,这些立法很即时。”
具有特殊身份的bill evans表示:“这似乎是对英国最近发生的几个事件的反应。首先,随着英国脱离欧盟,它正采取积极措施保护网络世界的信息。这意味着英国必须制定一项与欧盟的gdpr类似的立法,该计划将于明年生效。与此同时,今年早些时候,英国受到了“wannacry”病毒的严重打击,这对一些运营商造成了负面影响,尤其是英国国家医疗服务体系。”
evans补充说:“一般来说,这种立法听起来很棒,但‘恶魔在细节中’。采取措施防止网络引起的停止服务意味着什么?它是否包括特定技术,如多因素身份验证和特权管理,但不包括访问治理?访问治理是组织应该颁布的基本功能的一部分吗?应该指出的是,英国政府正在与运营商举行研讨会,以便就该提议提供反馈意见。理想情况下,种类型的沟通会消除细节,因为细节被定义了。”
arbor networks公司emea主要安全技术专家kirill kasavchenko同意说:“一项1700万的罚款意味着企业不能对自己的网络安全战略感到自满。企业需要制定一种应对网络攻击的正式战略,其中包括一个强有力的应急响应计划――如果出现新的威胁,这些应对措施应该具有适应性。组织应该对他们的内部网络进行调整,使其具有广泛而深入的网络流量、威胁和用户行为的可见性。最重要的是,企业尊重员工可能是他们最大的弱点,或者是他们最大的资产――者的关键在于确保员工为网络威胁提供额外防御的安全文化。员工应该密切关注恶意活动,并且必须了解最佳实践,以尽量减少损失。
techuk的网络项目主管talal rajab表示,问题仍在“基本服务”的范围内,该指令应该涵盖的范围,以及公司应该报告事件的时间表。他说:“techuk将会咨询其成员,以了解这些措施将如何影响数字服务提供商,并将通过研讨会向dcms提供反馈。”
rajab特别指出,“该指令还增加了新类别的数字服务提供商,这两者都强调了社会对技术的依赖,并增加了该指令将涵盖的组织的范围。”
veracode公司的emea解决方案架构师经理paul farrington指出,网络安全监管最近发生了重大转变,并对网络安全流程不足的组织进行网络攻击。他说:“现在,公司的责任是维持最低的网络安全标准,如果遭到网络攻击就会面临严重的后果。在越来越多的网络攻击事件中,英国政府声称近一半的英国公司在过去一年遭到网络攻击,这一提案非常受欢迎。政府正在向在英国境内运营的公司提供明确的信号,即在保护数据方面的损失,将会超过采取正确行动的成本。”
fireeye高级情报分析师jens monrad被问到当前关键基础设施行业对这种攻击的准备程度时,他指出,“许多cni仍然建立在脆弱基础设施的基础上,在许多情况下,并不是最初设计为连接到互联网。许多组织已经使用了解决方案,将这些系统与公司的基础架构相结合,便于维护,或直接连接到互联网获得远程支持和第三方访问。在许多情况下,由于缺乏理解或资源,网络防御的角度尚未确定优先级。这成为cni的一大担忧,因为正如我们在乌克兰看到的,最近‘notpetya’ 勒索软件发起的网络攻击,可能会对公民和企业造成现实的经济后果,这取决于后果的严重程度。”
他还说:“许多组织没有足够的资源优先考虑安全性,建立对关键资产的充分监控,甚至培训在网络安全领域运营cni的人员,这一差距扩大了。但现在企业需要证明自己的战略。如今,最大的挑战之一是缺乏对这一基础架构的洞察力。基于ics的关键基础设施需要与典型的it操作不同的技能,因此,在这种情况下,有时不需要对ics进行检测和监控。
monrad总结说:“为了在cni公司内部建立一个有效的网络防御计划,由于这些系统的设计性质,他们首先需要解决缺乏可视性和缺乏数据的能力。当他们处理这两个挑战时,他们应该建立一个能够解决和回答这三个问题的方案:
他们如何在ics网络中检测到威胁?ics是公司内部网络安全程序的一部分吗?
cni公司是否有足够的计划来应对在ics环境中的网络威胁、攻击和违规行为?
cni公司是否能够控制威胁、隔离和纠正它,同时确保它们仍然在运作?
-end-
90
――精品文章回顾
直接点击以下 蓝字 阅读
科技巨头|法案@报告展会| 国际安全
俄罗斯黑客| 各国网军| 美国天网| 亚太网安
智能摄像头体内穿戴动物可穿戴alphago
网安大学| 网络安全法| 女皇报告| 网安收购案