关于美国发布关键基础设施网络攻击通报新规草案的分析

　　一、事件详情

　　美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。

　　CISA正在就规则草案征求公众意见，为期60天。CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告，从而更好地识别攻击模式，确定网络犯罪分子和国家黑客使用的攻击策略，改进防御手段。

　　根据新规，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。该规定一经发布就遭到大量公司反对，这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节，这有利于攻击者。CISA表示，该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者，例如医疗、能源、制造业和金融服务业。

　　二、研判分析

　　该规定草案要求关键基础设施企业在遭受重大网络攻击后的72小时内向政府报告，这有助于政府及时获取网络攻击信息，进而更好地识别攻击模式，确定攻击策略，从而提升国家的网络安全防护能力。然而，一些企业担心，按照新规要求报告网络攻击和勒索软件支付情况，可能会泄露事件响应过程和网络防御的细节，从而给攻击者提供可乘之机。由于规定草案的发布遭到大量公司的反对，这可能引发行业内部的矛盾和不满，对于规定的顺利实施构成障碍。