《欧盟网络与信息系统指令》(简称NISD)将于2018年5月9日正式生效,为了敦促各企业妥善落实网络安全防护措施,英国政府已在不久前警告其国内各重要行业必须提升自身网络安全水平,否则将面临《欧盟网络与信息系统指令》带来的巨额罚款。目前,英国相关部门将对处置不当的企业苛以最高 1700 万英镑(约合人民币1.51亿元)的罚款。
NISD与GDPR于2016年7月6日通过的《欧盟网络与信息系统安全指令》将于2018年5月9日正式生效,并将在各欧盟成员国内得到普及。2018年5月9日同时也是欧盟《通用数据保护条例》GDPR的生效时间。企业如果涉及与欧盟的合作,将不得不参考GDPR、NISD这两个文件的要求。
NISD旨在保护GDPR未能涵盖的网络系统类别的安全性水平,同时亦用于保证构成关键基础设施(例如电力、水供应、医疗卫生以及运输等)的各个行业的安全性。这些企业或相关职能实体在指令中被定义为“基础服务运营商(简称OES)”以及“数字服务供应商(简称DSP)”。
欧盟各国可灵活落实NISD
由于NISD属于指令而非规定,因此其在各国的具体实施方式具有一定的灵活性空间。举例来说,英国政府此前曾提出,根据该指令执行的罚款额度应该在1000万欧元至2000万欧元(约合人民币7835万元到1.57亿元)之间,或者该企业全球年营业额的2%至4%之间。而目前已经实施的最高罚款额度为1700万欧元(约合人民币1.51亿元)。
英国方面已经明确表示,遭遇安全入侵的基础服务运营商企业不会自动触发罚款条例,最终结果具体取决于各行业监管机构或主管部门的实际判断。而判断的主要依据,则为遭遇安全违规的基础服务运营商/数字服务供应商是否具备充分的网络安全保障机制。具体来讲,这很可能取决于该公司是否已经实施英国国家网络安全中心(简称NCSC,隶属于GCHQ)于上周日发布的《NIS指令:顶级目标准则》。
英国政府方面同时指出,新的监管机构亦将能够评估各关键行业,旨在确保计划的健全度水平。
NISD的核心要求欧盟NISD中的核心部分体现在第14条:安全要求与事件通报。其中规定:“各成员国应确保基础服务运营商采取适当且适度的技术与组织措施,从而管理网络及信息系统所面临的安全风险。”
英国国家网络安全中心(NCSC)准则指出,上述目标可通过确保四类顶级目标遵循14项安全原则的方式实现,这四类顶级目标包括:
- 管理安全风险;
- 抵御网络攻击;
- 检测网络安全事件;
- 最大程度降低网络安全事件影响。
在此之后,各项目标又被进一步拆分为一系列普适性安全原则。NCSC方面表示:“每一项原则都阐述了需要实现的强制性安全成果。”
这四项目标当中,只有一项传统网络安全观点——即抵御网络攻击——提到商业与重要组织之间的差异。对于前者,主要以个人信息及盈利能力为运营动机; 对于后者,运营连续性(或恢复能力)则更为重要。Mimecast公司安全产品管理总监史蒂夫·马龙评论称,“这项立法明确强调了这一举措不再属于单纯的保护性网络安全思维。强大的业务连续性策略正得到前所未有的重视,旨在确保各组织机构能够在攻击期间继续运行,并在事后快速实现恢复。”
抵御网络攻击目标同时承认,单凭技术因素并不足以构建起完整的解决方案。举例来说,其中的B1原则面向政策及程序,B6原则负责处理员工意识与培训工作。
安全意识培养仍是重中之重Cyber Rik Aware公司创始人兼CEO斯蒂芬·伯克表示强烈支持“运营连续性”。他指出,关键基础设施的主要威胁来源为民族国家攻击者,而不仅仅是普通网络犯罪分子。民族国家通常会利用‘人’这一因素进行攻击,例如沙特石油公司曾因攻击者入侵而导致35000台设备遭到影响,而其根源仅仅是一位该公司员工点击了一封鱼叉式钓鱼邮件中的链接,因为这项不经意的操作,令全球约十分之一石油供应陷入风险之中。这再次强调了一项事实,即无论机构规模多么庞大,无论现有防御技术多么复杂,其仍然需要帮助员工意识到自身所面临的网络风险,并了解攻击者究竟如何突破层层防范。”
《欧盟网络与信息系统指令》(NISD)关注的并不只有网络攻击与数据丢失。英国政府宣称,NISD“还将涵盖对IT体系造成影响的其它威胁,包括电力中断、硬件故障以及环境危害等等。根据新的措施,网络与信息系统(简称NIS)指令将涵盖WannaCry以及近期出现的一系列高关注度系统故障事件。这些事件必须被上报至监管机构,并由监管机构评估受影响组织是否拥有适当的安全措施,且有权发布具有法律约束力的指令,从而提高安全性并在适当情况下处以罚款。”
这就带来了新的问题。大多数重要行业拥有客户数据库,因此可能需要遵循GDPR、NISD以及其它各类现有行业内特定法规。ThinkMaarble公司CEO安迪·麦尔斯警告称:根据这项新的立法,企业可能同时受到GDPR、政府以及监管机构的处罚,这意味着其中存在双重甚至是三重风险。
英国政府在答复文件中规定了不同重要部门的对应监管机构(主管部门)。这一角色通常由政府本身扮演,即对应部长——不过其中数字服务供应商的主管部门与GDPR同样为指定为英国信息专员办公室(ICO)。这意味着一旦部长人选有所变化,很有可能导致混乱及一致性缺失; 此外,政治形势的变化也可能对执法水平造成直接影响。麦尔斯建议称,NCSC应与信息专员开展合作,带着制定制裁性措施,监管机构则负责为其提供反馈信息才是理想的职能分配方式,而非二者颠倒。
企业还需做大量工作NISD还面临着被GDPR所覆盖的危险。更令人担忧的是大多数相关组织还没有做好在2018年5月的最后期限之内迎接新法令的准备。麦尔斯警告称,“27%的受访者(政府咨询期间)表示没有计划实施更进一步的安全措施,31%的受访者不知道所在组织是否会做出相应改变。这意味着对企业的安全教育还有大量工作要做,特别是强调保护其自身免受网络攻击影响的重要意义。
思科公司EMEAR数据保护与隐私官劳瑞娜·马西亚诺在接受采访时表示,隐私成熟度不高的组织所遭受的损失要远远大于具备成熟隐私制度的组织,这意味着遵循NISD规定“不应只是一种出于逃避罚款的行为,而应代表着相关组织机构愿意采取更为严格的准则,从而保障自身长期经济利益并保护客户数据。”
这意味着英国国家网络安全中心(NCSC)准则应被视为重要行业的行为基准,甚至采取高于这一水平的保障举措。而相关工作的第一步,无疑在于分析现有安全控制措施与NCSC准则要求之间的差距。
Context Information Security公司网络安全首席咨询师罗伯特·奥评论表示,重要的是,要想满足《欧盟网络与信息系统指令》这(NISD)四项目标与14项原则,则必须实现一定程度的网络成熟度。而这样的网络成熟度要求远远超出规定性的、基于合规要求的实践方针。即指令涵盖下的各职能实体将需要以等同于GDPR的态度高度重视NISD,至少二者罚款金额都比较大。这就要求各基础服务运营商与数字服务供应商评估其现有网络安全与适应能力,找出自身与NISD要求间的差距,同时制定改进计划以弥补这么差距,最终逐步实现网络安全水平的超越。