网络安全报告与披露要求的新变革

关键要点

• 企业必须重新评估如何遵循2023年12月18日的新网络安全报告法规。
• 新规定允许公司不再披露有关事件响应、系统或潜在漏洞的具体技术信息，以免影响其修复能力。
• 行业普遍对规则的重复性以及可能加重网络安全团队负担表示担忧。
• 信息披露的透明性仍然对保护数据至关重要，但现有规定需进一步明确界定什么构成报告事件。

随着企业在2024年即将开始审查新法规的实施方式，网络安全合规的要求发生了重大转变。根据2023年12月18日的，安全领导者需要重新思考其组织遵守新要求的最有效方式。

值得注意的是，意味着，公司将不再需要披露任何可能妨碍其应对和修复的具体或技术信息。这一变化在新规则的最终版本中引起了广泛关注。

就在这一变化发生前不久，在众议院和参议院提出了国会审查法案，试图推翻这一裁决。他们认为，这些要求与2022年《关键基础设施网络事件报告法案》（CIRCIA）是重复的，并且会导致网络安全团队在本已资源有限的情况下增加额外工作量。

行业内许多人对此表示认同，并指出在事件发生后短时间内公开披露敏感的泄露信息可能会在修复之前增加暴露和风险。

这一担忧是合理的。去年11月，一家勒索软件团伙在其攻击的受害者处向证监会提交了一份“未报告”投诉。这一前所未有的举动，试图在勒索谈判中使首席信息安全官（CISO）面临个人责任。此事件暴露了该规定的漏洞，并表明攻击者可以利用这一点作为施加压力的手段。

但推动废除该规定的举措是否合理？事情并不简单。每个论点都有其支持的一方。

有关这一裁决的争议是可以理解的，毕竟这些规则涉及到在攻击中真正是受害者和责任方的复杂情况。虽然攻击者的责任是明确的，但攻击的“受害者”往往并不是其直接目标，而是目标持有的数据的其他方。

公开披露政策理想情况下是为了提高对可能受影响的二次受害者的意识和透明度，而这些受害者可能甚至不知道他们的数据已经被泄露。如果没有某些报告要求，数据保管者就会倾向于压制有关攻击的信息，以维护其企业声誉并限制风险。通过制定明确的披露要求，这些保管者可以更好地承担起保护数据的责任，并让二次受害者有机会采取保护措施。

然而同时，规则细节至关重要：我们必须明确什么是事件，以及构成报告阈值的因素。安全组织通常每天管理许多事件，这些事件常常被称为“事故”，但它们往往是平淡且低风险的。如果没有清晰的界限来定义可报告的事件，组织在合规性方面将面临挑战。更糟的是，报告所希望产生的意识可能因信号与噪声的比率过低而被稀释：如果组织不断报告所有可能的事件，受害者就会很难判断哪些事件实际上是重要的。

大问题是：我们应该废除这一规则还是对其进行修改？

许多人将利用这一近期对该规定的“武器化”呼吁进行变革。但勒索行为可能从法律诞生之日起就存在。攻击者尝试利用报告要求来增加对受害者施加压力的杠杆，并不意味着报告本身就是坏事。

反之，我们应考虑另一种可能性——如果二次受害者不知道攻击发生，他们或许永远无法获悉事件，进而失去采取保护措施的机会。

必要的调整

安全领导者需要意识到，影响披露决