不久前，網絡安全還是一個人們感興趣的邊緣話題。現在，成為頭條新聞的違規行為影響著大量的普通公民。整個城市都發現自己受到網絡攻擊。在很短的時間內，網絡在國家話語中占據了重要地位。如今，政府、監管機構和企業必須共同努力應對這一日益嚴重的威脅。

那么聯邦政府如何加強關鍵基礎設施的安全呢？看起來他們正在使用胡蘿卜加大棒的方法。

早在 2022 年 3 月，《關鍵基礎設施網絡事件報告法案》(CIRCIA) 就已簽署成為法律。它要求包括金融服務在內的關鍵基礎設施公司向網絡安全和基礎設施安全局（CISA）報告網絡安全事件，例如勒索軟件攻擊。就是那根棍子。

現在，聯邦能源監管委員會推出的新的自愿網絡激勵框架將允許公用事業公司申請基于激勵的費率恢復。當公司進行某些經過資格預審的網絡安全投資或加入威脅信息共享計劃時，他們可以做到這一點。新規則有助于克服關鍵基礎設施所有者和運營商面臨的最大障礙之一：缺乏資金投資網絡安全。那就是胡蘿卜。

隨著關鍵基礎設施成為威脅行為者越來越有吸引力的目標，這種胡蘿卜加大棒的方法是否足夠？

監管即將出臺

在美國，兩項網絡安全法規將影響商業領域的多個行業。首先，CIRCIA要求包括金融服務在內的關鍵基礎設施公司向 CISA 報告網絡安全事件，例如勒索軟件攻擊。

在最終規則生效之前，無需根據 CIRCIA 報告網絡事件和勒索軟件。盡管如此，CISA 仍鼓勵關鍵基礎設施所有者和運營商在最終規則生效之前自愿分享網絡事件信息。

此外，美國證券交易委員會（SEC）提出了一項規則，要求上市公司報告網絡安全事件、其網絡安全能力以及董事會的網絡安全專業知識和監督。

SEC 的 2022 年秋季監管和放松監管行動統一議程提出了以網絡安全為重點的議程項目，包括：

• 解決注冊人網絡安全風險和相關披露的規則
• 規則修訂，以便更好地向投資者通報注冊人的網絡安全風險管理、戰略和治理，并及時通知重大網絡安全事件
• 加強基金和投資顧問與網絡安全風險相關的披露和治理的規則。

網絡攻擊報告不足

網絡攻擊的受害者包括一些最大的能源供應商、保險公司和金融服務公司。與此同時，FBI 報告稱，2022 年收到了超過 80 萬起與網絡犯罪相關的投訴。根據聯邦調查局互聯網犯罪投訴中心 (IC3) 的數據，總損失超過 100 億美元，遠超 2021 年的 69 億美元。

然而，這些統計數據僅代表所有網絡犯罪活動的一小部分。此前，FBI 估計其收到的投訴僅占所有網絡犯罪的 10-12%。其他研究也得出結論，少報網絡犯罪——即使法律強制披露——似乎是常態。Bitdefender最近的一份報告顯示，超過 40% 的受訪 IT 安全專業人士表示，他們被告知要對網絡違規行為保持沉默。美國受訪者中這一數字增至 71%。

網絡犯罪未被舉報的原因有很多。首先，一些組織甚至可能沒有意識到他們是攻擊或違規的受害者。其他公司由于聲譽問題或擔心客戶或投資者的強烈反對而避免報告網絡犯罪。公司也可能認為支付贖金是解決問題的最簡單途徑。對訴訟的恐懼也可能阻止公司報告數據泄露事件。

然而，考慮到 CIRCIA 和 SEC 計劃的網絡披露法規，這些借口可能不再可行。

更多正向激勵

美聯儲并沒有使用單一的方法來改善關鍵基礎設施對網絡攻擊的響應。今年，公用事業公司可能能夠通過增加消費者電費來為某些網絡安全投資提供資金。這是幫助資金短缺的公用事業所有者和運營商保護自己免受網絡威脅的努力的一部分。

該倡議是一個由聯邦能源管理委員會支持的自愿網絡激勵框架。該計劃符合拜登政府兩黨基礎設施投資和就業法案的要求。該計劃將使公用事業公司能夠獲得基于激勵的費率恢復。為了獲得資格，公用事業公司必須進行經過資格預審的網絡安全投資，例如加入威脅信息共享計劃。

一般來說，公用事業公司必須遵守批準的電價，并且只能在限額內收費。這些費率受到嚴格監管。因此，公用事業公司不能隨意提高收費來彌補成本。然而，新的費率恢復計劃提供了一種替代方案來幫助支付安全工具的費用。

公用事業公司通過組合費率組成部分來收回提供電力服務的成本，這些組成部分成為客戶每月的電費。費率由州監管機構設定，并根據司法管轄區、公用事業和客戶類別而有所不同。一般來說，費率設計要平衡經濟效益、公平公正、客戶滿意度、公用事業收入穩定性以及客戶價格和賬單穩定性。

現在，網絡安全已成為方程式的一部分。這表明對網絡攻擊的擔憂已經深入到社會結構中。

網絡安全投資激勵措施

聯邦政府繼續尋求改善基礎設施安全的方法，這已成為白宮的首要任務。關鍵基礎設施對于攻擊者來說是一個誘人的目標，尤其是國家資助的組織。

《聯邦公報》將以下來源視為潛在的網絡安全投資，將顯著改善公用事業公司的安全狀況：

1. NIST 特別出版物 (SP) 800-53 “信息系統和組織的安全和隱私控制”目錄中列舉了安全控制。
2. 安全控制滿足 NIST 網絡安全框架中的目標。
3. 美國國土安全部 (DHS) 網絡安全和基礎設施安全局 (CISA) 或能源部 (DOE) 的具體建議。
4. CISA Shields Up活動的具體建議。
5. 參與網絡安全風險信息共享計劃（CRISP）或類似的網絡安全威脅信息共享計劃。
6. 最高成熟度指標級別的網絡安全能力成熟度模型 (C2M2)領域。

顯然，業主和運營商必須提高網絡防御能力。鑒于公用事業預算受到監管，聯邦政府明白必須提供新的資金來源。但這筆賬單將由電力消費者支付。這進一步證明了網絡安全如何影響經濟穩定。看來我們所有人都必須為更強的網絡安全做出犧牲。