不久前，網(wǎng)絡(luò)安全還是一個(gè)人們感興趣的邊緣話題?，F(xiàn)在，成為頭條新聞的違規(guī)行為影響著大量的普通公民。整個(gè)城市都發(fā)現(xiàn)自己受到網(wǎng)絡(luò)攻擊。在很短的時(shí)間內(nèi)，網(wǎng)絡(luò)在國(guó)家話語(yǔ)中占據(jù)了重要地位。如今，政府、監(jiān)管機(jī)構(gòu)和企業(yè)必須共同努力應(yīng)對(duì)這一日益嚴(yán)重的威脅。

那么聯(lián)邦政府如何加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的安全呢？看起來他們正在使用胡蘿卜加大棒的方法。

早在 2022 年 3 月，《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》(CIRCIA) 就已簽署成為法律。它要求包括金融服務(wù)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施公司向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）報(bào)告網(wǎng)絡(luò)安全事件，例如勒索軟件攻擊。就是那根棍子。

現(xiàn)在，聯(lián)邦能源監(jiān)管委員會(huì)推出的新的自愿網(wǎng)絡(luò)激勵(lì)框架將允許公用事業(yè)公司申請(qǐng)基于激勵(lì)的費(fèi)率恢復(fù)。當(dāng)公司進(jìn)行某些經(jīng)過資格預(yù)審的網(wǎng)絡(luò)安全投資或加入威脅信息共享計(jì)劃時(shí)，他們可以做到這一點(diǎn)。新規(guī)則有助于克服關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商面臨的最大障礙之一：缺乏資金投資網(wǎng)絡(luò)安全。那就是胡蘿卜。

隨著關(guān)鍵基礎(chǔ)設(shè)施成為威脅行為者越來越有吸引力的目標(biāo)，這種胡蘿卜加大棒的方法是否足夠？

監(jiān)管即將出臺(tái)

在美國(guó)，兩項(xiàng)網(wǎng)絡(luò)安全法規(guī)將影響商業(yè)領(lǐng)域的多個(gè)行業(yè)。首先，CIRCIA要求包括金融服務(wù)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施公司向 CISA 報(bào)告網(wǎng)絡(luò)安全事件，例如勒索軟件攻擊。

在最終規(guī)則生效之前，無(wú)需根據(jù) CIRCIA 報(bào)告網(wǎng)絡(luò)事件和勒索軟件。盡管如此，CISA 仍鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商在最終規(guī)則生效之前自愿分享網(wǎng)絡(luò)事件信息。

此外，美國(guó)證券交易委員會(huì)（SEC）提出了一項(xiàng)規(guī)則，要求上市公司報(bào)告網(wǎng)絡(luò)安全事件、其網(wǎng)絡(luò)安全能力以及董事會(huì)的網(wǎng)絡(luò)安全專業(yè)知識(shí)和監(jiān)督。

SEC 的 2022 年秋季監(jiān)管和放松監(jiān)管行動(dòng)統(tǒng)一議程提出了以網(wǎng)絡(luò)安全為重點(diǎn)的議程項(xiàng)目，包括：

• 解決注冊(cè)人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和相關(guān)披露的規(guī)則
• 規(guī)則修訂，以便更好地向投資者通報(bào)注冊(cè)人的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略和治理，并及時(shí)通知重大網(wǎng)絡(luò)安全事件
• 加強(qiáng)基金和投資顧問與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的披露和治理的規(guī)則。

網(wǎng)絡(luò)攻擊報(bào)告不足

網(wǎng)絡(luò)攻擊的受害者包括一些最大的能源供應(yīng)商、保險(xiǎn)公司和金融服務(wù)公司。與此同時(shí)，F(xiàn)BI 報(bào)告稱，2022 年收到了超過 80 萬(wàn)起與網(wǎng)絡(luò)犯罪相關(guān)的投訴。根據(jù)聯(lián)邦調(diào)查局互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 的數(shù)據(jù)，總損失超過 100 億美元，遠(yuǎn)超 2021 年的 69 億美元。

然而，這些統(tǒng)計(jì)數(shù)據(jù)僅代表所有網(wǎng)絡(luò)犯罪活動(dòng)的一小部分。此前，F(xiàn)BI 估計(jì)其收到的投訴僅占所有網(wǎng)絡(luò)犯罪的 10-12%。其他研究也得出結(jié)論，少報(bào)網(wǎng)絡(luò)犯罪——即使法律強(qiáng)制披露——似乎是常態(tài)。Bitdefender最近的一份報(bào)告顯示，超過 40% 的受訪 IT 安全專業(yè)人士表示，他們被告知要對(duì)網(wǎng)絡(luò)違規(guī)行為保持沉默。美國(guó)受訪者中這一數(shù)字增至 71%。

網(wǎng)絡(luò)犯罪未被舉報(bào)的原因有很多。首先，一些組織甚至可能沒有意識(shí)到他們是攻擊或違規(guī)的受害者。其他公司由于聲譽(yù)問題或擔(dān)心客戶或投資者的強(qiáng)烈反對(duì)而避免報(bào)告網(wǎng)絡(luò)犯罪。公司也可能認(rèn)為支付贖金是解決問題的最簡(jiǎn)單途徑。對(duì)訴訟的恐懼也可能阻止公司報(bào)告數(shù)據(jù)泄露事件。

然而，考慮到 CIRCIA 和 SEC 計(jì)劃的網(wǎng)絡(luò)披露法規(guī)，這些借口可能不再可行。

更多正向激勵(lì)

美聯(lián)儲(chǔ)并沒有使用單一的方法來改善關(guān)鍵基礎(chǔ)設(shè)施對(duì)網(wǎng)絡(luò)攻擊的響應(yīng)。今年，公用事業(yè)公司可能能夠通過增加消費(fèi)者電費(fèi)來為某些網(wǎng)絡(luò)安全投資提供資金。這是幫助資金短缺的公用事業(yè)所有者和運(yùn)營(yíng)商保護(hù)自己免受網(wǎng)絡(luò)威脅的努力的一部分。

該倡議是一個(gè)由聯(lián)邦能源管理委員會(huì)支持的自愿網(wǎng)絡(luò)激勵(lì)框架。該計(jì)劃符合拜登政府兩黨基礎(chǔ)設(shè)施投資和就業(yè)法案的要求。該計(jì)劃將使公用事業(yè)公司能夠獲得基于激勵(lì)的費(fèi)率恢復(fù)。為了獲得資格，公用事業(yè)公司必須進(jìn)行經(jīng)過資格預(yù)審的網(wǎng)絡(luò)安全投資，例如加入威脅信息共享計(jì)劃。

一般來說，公用事業(yè)公司必須遵守批準(zhǔn)的電價(jià)，并且只能在限額內(nèi)收費(fèi)。這些費(fèi)率受到嚴(yán)格監(jiān)管。因此，公用事業(yè)公司不能隨意提高收費(fèi)來彌補(bǔ)成本。然而，新的費(fèi)率恢復(fù)計(jì)劃提供了一種替代方案來幫助支付安全工具的費(fèi)用。

公用事業(yè)公司通過組合費(fèi)率組成部分來收回提供電力服務(wù)的成本，這些組成部分成為客戶每月的電費(fèi)。費(fèi)率由州監(jiān)管機(jī)構(gòu)設(shè)定，并根據(jù)司法管轄區(qū)、公用事業(yè)和客戶類別而有所不同。一般來說，費(fèi)率設(shè)計(jì)要平衡經(jīng)濟(jì)效益、公平公正、客戶滿意度、公用事業(yè)收入穩(wěn)定性以及客戶價(jià)格和賬單穩(wěn)定性。

現(xiàn)在，網(wǎng)絡(luò)安全已成為方程式的一部分。這表明對(duì)網(wǎng)絡(luò)攻擊的擔(dān)憂已經(jīng)深入到社會(huì)結(jié)構(gòu)中。

網(wǎng)絡(luò)安全投資激勵(lì)措施

聯(lián)邦政府繼續(xù)尋求改善基礎(chǔ)設(shè)施安全的方法，這已成為白宮的首要任務(wù)。關(guān)鍵基礎(chǔ)設(shè)施對(duì)于攻擊者來說是一個(gè)誘人的目標(biāo)，尤其是國(guó)家資助的組織。

《聯(lián)邦公報(bào)》將以下來源視為潛在的網(wǎng)絡(luò)安全投資，將顯著改善公用事業(yè)公司的安全狀況：

1. NIST 特別出版物 (SP) 800-53 “信息系統(tǒng)和組織的安全和隱私控制”目錄中列舉了安全控制。
2. 安全控制滿足 NIST 網(wǎng)絡(luò)安全框架中的目標(biāo)。
3. 美國(guó)國(guó)土安全部 (DHS) 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 或能源部 (DOE) 的具體建議。
4. CISA Shields Up活動(dòng)的具體建議。
5. 參與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息共享計(jì)劃（CRISP）或類似的網(wǎng)絡(luò)安全威脅信息共享計(jì)劃。
6. 最高成熟度指標(biāo)級(jí)別的網(wǎng)絡(luò)安全能力成熟度模型 (C2M2)領(lǐng)域。

顯然，業(yè)主和運(yùn)營(yíng)商必須提高網(wǎng)絡(luò)防御能力。鑒于公用事業(yè)預(yù)算受到監(jiān)管，聯(lián)邦政府明白必須提供新的資金來源。但這筆賬單將由電力消費(fèi)者支付。這進(jìn)一步證明了網(wǎng)絡(luò)安全如何影響經(jīng)濟(jì)穩(wěn)定?？磥砦覀兯腥硕急仨殲楦鼜?qiáng)的網(wǎng)絡(luò)安全做出犧牲。