E安全2月8日訊《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》(簡稱NISD)將于2018年5月9日正式生效，為了敦促各企業(yè)妥善落實(shí)網(wǎng)絡(luò)安全防護(hù)措施，英國政府已在不久前警告其國內(nèi)各重要行業(yè)必須提升自身網(wǎng)絡(luò)安全水平，否則將面臨《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》帶來的巨額罰款。目前，英國相關(guān)部門將對處置不當(dāng)?shù)钠髽I(yè)苛以最高 1700 萬英鎊(約合人民幣1.51億元)的罰款。

NISD與GDPR于2016年7月6日通過的《歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令》將于2018年5月9日正式生效，并將在各歐盟成員國內(nèi)得到普及。2018年5月9日同時也是歐盟《通用數(shù)據(jù)保護(hù)條例》GDPR的生效時間。企業(yè)如果涉及與歐盟的合作，將不得不參考GDPR、NISD這兩個文件的要求。

NISD旨在保護(hù)GDPR未能涵蓋的網(wǎng)絡(luò)系統(tǒng)類別的安全性水平，同時亦用于保證構(gòu)成關(guān)鍵基礎(chǔ)設(shè)施(例如電力、水供應(yīng)、醫(yī)療衛(wèi)生以及運(yùn)輸?shù)?的各個行業(yè)的安全性。這些企業(yè)或相關(guān)職能實(shí)體在指令中被定義為“基礎(chǔ)服務(wù)運(yùn)營商(簡稱OES)”以及“數(shù)字服務(wù)供應(yīng)商(簡稱DSP)”。

歐盟各國可靈活落實(shí)NISD

由于NISD屬于指令而非規(guī)定，因此其在各國的具體實(shí)施方式具有一定的靈活性空間。舉例來說，英國政府此前曾提出，根據(jù)該指令執(zhí)行的罰款額度應(yīng)該在1000萬歐元至2000萬歐元(約合人民幣7835萬元到1.57億元)之間，或者該企業(yè)全球年?duì)I業(yè)額的2%至4%之間。而目前已經(jīng)實(shí)施的最高罰款額度為1700萬歐元(約合人民幣1.51億元)。

英國方面已經(jīng)明確表示，遭遇安全入侵的基礎(chǔ)服務(wù)運(yùn)營商企業(yè)不會自動觸發(fā)罰款條例，最終結(jié)果具體取決于各行業(yè)監(jiān)管機(jī)構(gòu)或主管部門的實(shí)際判斷。而判斷的主要依據(jù)，則為遭遇安全違規(guī)的基礎(chǔ)服務(wù)運(yùn)營商/數(shù)字服務(wù)供應(yīng)商是否具備充分的網(wǎng)絡(luò)安全保障機(jī)制。具體來講，這很可能取決于該公司是否已經(jīng)實(shí)施英國國家網(wǎng)絡(luò)安全中心(簡稱NCSC，隸屬于GCHQ)于上周日發(fā)布的《NIS指令：頂級目標(biāo)準(zhǔn)則》。

英國政府方面同時指出，新的監(jiān)管機(jī)構(gòu)亦將能夠評估各關(guān)鍵行業(yè)，旨在確保計(jì)劃的健全度水平。

NISD的核心要求歐盟NISD中的核心部分體現(xiàn)在第14條：安全要求與事件通報(bào)。其中規(guī)定：“各成員國應(yīng)確保基礎(chǔ)服務(wù)運(yùn)營商采取適當(dāng)且適度的技術(shù)與組織措施，從而管理網(wǎng)絡(luò)及信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)。”

英國國家網(wǎng)絡(luò)安全中心(NCSC)準(zhǔn)則指出，上述目標(biāo)可通過確保四類頂級目標(biāo)遵循14項(xiàng)安全原則的方式實(shí)現(xiàn)，這四類頂級目標(biāo)包括：

管理安全風(fēng)險(xiǎn);

抵御網(wǎng)絡(luò)攻擊;

檢測網(wǎng)絡(luò)安全事件;

最大程度降低網(wǎng)絡(luò)安全事件影響。

在此之后，各項(xiàng)目標(biāo)又被進(jìn)一步拆分為一系列普適性安全原則。NCSC方面表示：“每一項(xiàng)原則都闡述了需要實(shí)現(xiàn)的強(qiáng)制性安全成果。”

這四項(xiàng)目標(biāo)當(dāng)中，只有一項(xiàng)傳統(tǒng)網(wǎng)絡(luò)安全觀點(diǎn)——即抵御網(wǎng)絡(luò)攻擊——提到商業(yè)與重要組織之間的差異。對于前者，主要以個人信息及盈利能力為運(yùn)營動機(jī); 對于后者，運(yùn)營連續(xù)性(或恢復(fù)能力)則更為重要。Mimecast公司安全產(chǎn)品管理總監(jiān)史蒂夫·馬龍?jiān)u論稱，“這項(xiàng)立法明確強(qiáng)調(diào)了這一舉措不再屬于單純的保護(hù)性網(wǎng)絡(luò)安全思維。強(qiáng)大的業(yè)務(wù)連續(xù)性策略正得到前所未有的重視，旨在確保各組織機(jī)構(gòu)能夠在攻擊期間繼續(xù)運(yùn)行，并在事后快速實(shí)現(xiàn)恢復(fù)。”

抵御網(wǎng)絡(luò)攻擊目標(biāo)同時承認(rèn)，單憑技術(shù)因素并不足以構(gòu)建起完整的解決方案。舉例來說，其中的B1原則面向政策及程序，B6原則負(fù)責(zé)處理員工意識與培訓(xùn)工作。

安全意識培養(yǎng)仍是重中之重Cyber Rik Aware公司創(chuàng)始人兼CEO斯蒂芬·伯克表示強(qiáng)烈支持“運(yùn)營連續(xù)性”。他指出，關(guān)鍵基礎(chǔ)設(shè)施的主要威脅來源為民族國家攻擊者，而不僅僅是普通網(wǎng)絡(luò)犯罪分子。民族國家通常會利用‘人’這一因素進(jìn)行攻擊，例如沙特石油公司曾因攻擊者入侵而導(dǎo)致35000臺設(shè)備遭到影響，而其根源僅僅是一位該公司員工點(diǎn)擊了一封魚叉式釣魚郵件中的鏈接，因?yàn)檫@項(xiàng)不經(jīng)意的操作，令全球約十分之一石油供應(yīng)陷入風(fēng)險(xiǎn)之中。這再次強(qiáng)調(diào)了一項(xiàng)事實(shí)，即無論機(jī)構(gòu)規(guī)模多么龐大，無論現(xiàn)有防御技術(shù)多么復(fù)雜，其仍然需要幫助員工意識到自身所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)，并了解攻擊者究竟如何突破層層防范。”

《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》(NISD)關(guān)注的并不只有網(wǎng)絡(luò)攻擊與數(shù)據(jù)丟失。英國政府宣稱，NISD“還將涵蓋對IT體系造成影響的其它威脅，包括電力中斷、硬件故障以及環(huán)境危害等等。根據(jù)新的措施，網(wǎng)絡(luò)與信息系統(tǒng)(簡稱NIS)指令將涵蓋WannaCry以及近期出現(xiàn)的一系列高關(guān)注度系統(tǒng)故障事件。這些事件必須被上報(bào)至監(jiān)管機(jī)構(gòu)，并由監(jiān)管機(jī)構(gòu)評估受影響組織是否擁有適當(dāng)?shù)陌踩胧矣袡?quán)發(fā)布具有法律約束力的指令，從而提高安全性并在適當(dāng)情況下處以罰款。”

這就帶來了新的問題。大多數(shù)重要行業(yè)擁有客戶數(shù)據(jù)庫，因此可能需要遵循GDPR、NISD以及其它各類現(xiàn)有行業(yè)內(nèi)特定法規(guī)。ThinkMaarble公司CEO安迪·麥爾斯警告稱：根據(jù)這項(xiàng)新的立法，企業(yè)可能同時受到GDPR、政府以及監(jiān)管機(jī)構(gòu)的處罰，這意味著其中存在雙重甚至是三重風(fēng)險(xiǎn)。

英國政府在答復(fù)文件中規(guī)定了不同重要部門的對應(yīng)監(jiān)管機(jī)構(gòu)(主管部門)。這一角色通常由政府本身扮演，即對應(yīng)部長——不過其中數(shù)字服務(wù)供應(yīng)商的主管部門與GDPR同樣為指定為英國信息專員辦公室(ICO)。這意味著一旦部長人選有所變化，很有可能導(dǎo)致混亂及一致性缺失; 此外，政治形勢的變化也可能對執(zhí)法水平造成直接影響。麥爾斯建議稱，NCSC應(yīng)與信息專員開展合作，帶著制定制裁性措施，監(jiān)管機(jī)構(gòu)則負(fù)責(zé)為其提供反饋信息才是理想的職能分配方式，而非二者顛倒。

企業(yè)還需做大量工作NISD還面臨著被GDPR所覆蓋的危險(xiǎn)。更令人擔(dān)憂的是大多數(shù)相關(guān)組織還沒有做好在2018年5月的最后期限之內(nèi)迎接新法令的準(zhǔn)備。麥爾斯警告稱，“27%的受訪者(政府咨詢期間)表示沒有計(jì)劃實(shí)施更進(jìn)一步的安全措施，31%的受訪者不知道所在組織是否會做出相應(yīng)改變。這意味著對企業(yè)的安全教育還有大量工作要做，特別是強(qiáng)調(diào)保護(hù)其自身免受網(wǎng)絡(luò)攻擊影響的重要意義。

思科公司EMEAR數(shù)據(jù)保護(hù)與隱私官勞瑞娜·馬西亞諾在接受采訪時表示，隱私成熟度不高的組織所遭受的損失要遠(yuǎn)遠(yuǎn)大于具備成熟隱私制度的組織，這意味著遵循NISD規(guī)定“不應(yīng)只是一種出于逃避罰款的行為，而應(yīng)代表著相關(guān)組織機(jī)構(gòu)愿意采取更為嚴(yán)格的準(zhǔn)則，從而保障自身長期經(jīng)濟(jì)利益并保護(hù)客戶數(shù)據(jù)。”

這意味著英國國家網(wǎng)絡(luò)安全中心(NCSC)準(zhǔn)則應(yīng)被視為重要行業(yè)的行為基準(zhǔn)，甚至采取高于這一水平的保障舉措。而相關(guān)工作的第一步，無疑在于分析現(xiàn)有安全控制措施與NCSC準(zhǔn)則要求之間的差距。

Context Information Security公司網(wǎng)絡(luò)安全首席咨詢師羅伯特·奧評論表示，重要的是，要想滿足《歐盟網(wǎng)絡(luò)與信息系統(tǒng)指令》這(NISD)四項(xiàng)目標(biāo)與14項(xiàng)原則，則必須實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)成熟度。而這樣的網(wǎng)絡(luò)成熟度要求遠(yuǎn)遠(yuǎn)超出規(guī)定性的、基于合規(guī)要求的實(shí)踐方針。即指令涵蓋下的各職能實(shí)體將需要以等同于GDPR的態(tài)度高度重視NISD，至少二者罰款金額都比較大。這就要求各基礎(chǔ)服務(wù)運(yùn)營商與數(shù)字服務(wù)供應(yīng)商評估其現(xiàn)有網(wǎng)絡(luò)安全與適應(yīng)能力，找出自身與NISD要求間的差距，同時制定改進(jìn)計(jì)劃以彌補(bǔ)這么差距，最終逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全水平的超越。