美國輸油管道勒索攻擊事件敲響全球關(guān)鍵信息基礎(chǔ)設(shè)施保護警鐘。當前，勒索攻擊已成為各國網(wǎng)絡(luò)安全面臨的主要威脅，并呈現(xiàn)向關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域蔓延趨勢。自 2017 年WannaCry 勒索病毒爆發(fā)以來，大規(guī)模勒索攻擊事件屢屢發(fā)生，受害對象、危害后果、贖金要求不斷刷新。美國近期發(fā)生的成品油供應(yīng)商科洛尼爾公司遭遇勒索攻擊一事，因觸發(fā)所謂“國家緊急狀態(tài)”而備受關(guān)注。

　　事件發(fā)生后，美國反思現(xiàn)有關(guān)鍵基礎(chǔ)設(shè)施保護的不足，密集出臺或推動十余部政策立法，力圖改變被動局面。近日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）正式發(fā)布，推動我國進入關(guān)鍵信息基礎(chǔ)設(shè)施保護新階段。貫徹落實《條例》，充分應(yīng)對勒索攻擊等新興網(wǎng)絡(luò)安全威脅，應(yīng)秉持積極防御理念，強化風(fēng)險識別和應(yīng)急處置，重視數(shù)據(jù)安全和供應(yīng)鏈安全，加強勒索攻擊案件打擊，綜合提升關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力。

　　一、美國輸油管道勒索攻擊事件的現(xiàn)實應(yīng)對

　　2021 年 5 月 7 日，美國最主要的成品油供應(yīng)商之一科洛尼爾公司（Colonial Pipeline）遭遇勒索攻擊，導(dǎo)致美國東海岸地區(qū) 45% 的燃油供應(yīng)受到影響（以下簡稱“輸油管道勒索攻擊事件”）。為有效應(yīng)對和緩解該事件造成的影響，科洛尼爾公司及美國聯(lián)邦政府多部門先后采取多項措施。

　　在應(yīng)急處置方面，鑒于攻擊者在獲得對科洛尼爾公司網(wǎng)絡(luò)的初始訪問權(quán)限后針對 IT 網(wǎng)絡(luò)部署勒索軟件，為應(yīng)對攻擊，該公司立即啟動應(yīng)急響應(yīng)，主動斷開某些 OT 系統(tǒng)以緩解事件影響。但該公司首席執(zhí)行官隨后承認已向黑客支付價值 440 萬美元的比特幣贖金。

　　5 月 11 日，美國白宮就此事件發(fā)布情況說明，表示拜登政府已發(fā)動全政府努力解決此事件，確保關(guān)鍵能源供應(yīng)鏈安全。白宮成立機構(gòu)間響應(yīng)小組，以監(jiān)測和緩解事件影響，確保燃料持續(xù)流向受影響地區(qū)。多部門發(fā)布臨時豁免，允許多個州暫時使用不合規(guī)的燃料，并為燃料運輸提供更大的靈活性。同時，國土安全部下轄的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）還與能源部合作，并與行業(yè)溝通，就關(guān)鍵基礎(chǔ)設(shè)施保護、減少勒索攻擊事件發(fā)生提出建議。

　　在犯罪打擊方面，5 月 10 日，F(xiàn)BI 確認黑客組織 DarkSide 實施了此次攻擊。5 月 13 日，DarkSide稱，由于執(zhí)法行動，他們目前已經(jīng)無法通過安全外殼協(xié)議（SSH）訪問其基礎(chǔ)設(shè)施，包括數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器、主機界面等；由于來自美國的壓力，DarkSide 將終止勒索活動。6 月 7日，美國司法部表示已追回科洛尼爾公司支付給DarkSide 價值約 230 萬美元的比特幣贖金。

　　二、美國對輸油管道勒索攻擊事件的立法反思

　　事件發(fā)生后，白宮表示美國近 90% 的關(guān)鍵基礎(chǔ)設(shè)施由私營部門擁有或運營，但目前美國在關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護方面缺乏戰(zhàn)略層面的協(xié)調(diào)一致的要求，現(xiàn)有各部門和州一級的相關(guān)立法雖在零碎地調(diào)整，但不足以支撐美國應(yīng)對當前關(guān)鍵基礎(chǔ)設(shè)施面臨的威脅，亟需通過立法改變這一局面。對此，聯(lián)邦政府、國會采取一系列立法措施，涉及總統(tǒng)行政令、備忘錄、部門指令以及十余部國會立法提案，加強關(guān)鍵基礎(chǔ)設(shè)施保護和勒索攻擊打擊。

　　1. 立法響應(yīng)

　　一是聯(lián)邦政府層面。5 月 12 日，拜登簽署第14028 號行政令《提升國家網(wǎng)絡(luò)安全的行政令》（以下簡稱“行政令”），明確政府將網(wǎng)絡(luò)事件的預(yù)防、檢測、評估和補救作為重中之重，所有聯(lián)邦信息系統(tǒng)都應(yīng)滿足或超過網(wǎng)絡(luò)安全標準和要求。7 月 28 日，拜登再次簽署《改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全的國家安全備忘錄》，指出關(guān)鍵基礎(chǔ)設(shè)施控制和運營系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅是當前最重要和日益嚴重的問題之一。

　　二是部門層面。美國運輸安全管理局（TSA）發(fā)布兩項安全指令（以下簡稱“TSA 指令”），要求關(guān)鍵管道所有者和運營商報告已確認和潛在的網(wǎng)絡(luò)安全事件，制定并實施網(wǎng)絡(luò)安全應(yīng)急恢復(fù)計劃，對當前網(wǎng)絡(luò)安全實踐進行審查并采取補救措施等。

　　三是國會層面。事件發(fā)生后，國會正在推動的相關(guān)立法提案包括《2021 年美國基礎(chǔ)設(shè)施防御法案》《管道安全法案》《2021 年網(wǎng)絡(luò)事件通知法案》《2021年供應(yīng)鏈安全培訓(xùn)法案》《研究網(wǎng)絡(luò)攻擊應(yīng)對行為法案》《國際網(wǎng)絡(luò)犯罪預(yù)防法案》等十余部，涉及監(jiān)管職責、信息共享、應(yīng)急響應(yīng)、安全評估、供應(yīng)鏈安全、關(guān)鍵基礎(chǔ)設(shè)施犯罪、網(wǎng)絡(luò)攻擊反制等諸多內(nèi)容，試圖從整體關(guān)鍵基礎(chǔ)設(shè)施及能源、電力等細分領(lǐng)域全面提升安全保障能力。

　　2. 立法關(guān)切

　　一是加強風(fēng)險識別。有提案認為，美國聯(lián)邦政府缺乏充足的網(wǎng)絡(luò)安全準備措施，且沒有用于投資關(guān)鍵領(lǐng)域的基金，使得政府無法將其對風(fēng)險的理解納入戰(zhàn)略、規(guī)劃和行動，以推動實現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施安全的核心目標，應(yīng)從根本上改變聯(lián)邦政府在網(wǎng)絡(luò)安全方面的投資方式，將投資重點從被動的網(wǎng)絡(luò)安全災(zāi)難支出轉(zhuǎn)向風(fēng)險驅(qū)動，主動投資于加強網(wǎng)絡(luò)彈性。同時，有提案提出制定國家網(wǎng)絡(luò)演習(xí)計劃，該計劃應(yīng)模擬成政府或關(guān)鍵基礎(chǔ)設(shè)施因網(wǎng)絡(luò)安全事件導(dǎo)致部分或全部喪失能力的場景。由 CISA 建立基于云的信息共享環(huán)境，整合聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險信息，幫助其全面了解對聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成的網(wǎng)絡(luò)威脅。

　　二是加強事件報告。行政令要求與聯(lián)邦機構(gòu)簽訂合同的 ICT 提供商在發(fā)現(xiàn)提供給聯(lián)邦機構(gòu)的產(chǎn)品、服務(wù)及支持系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件時，必須立即向聯(lián)邦機構(gòu)上報。有提案提出，為違反事件報告義務(wù)的行為配備處罰措施，提出被認為對美國國家安全至關(guān)重要的聯(lián)邦機構(gòu)、聯(lián)邦承包商和組織在發(fā)現(xiàn)安全事件后應(yīng)在 24 小時內(nèi)向 CISA 報告。對于正在或已經(jīng)違反該報告要求的，可視情況對該實體按日處以不超過上一年總收入 0.5% 的民事罰款。TSA 指令要求關(guān)鍵管道所有者和運營商指定一名 7*24 小時待命的網(wǎng)絡(luò)安全協(xié)調(diào)員，報告已發(fā)生和潛在的安全事件，并制定實施網(wǎng)絡(luò)安全應(yīng)急和恢復(fù)計劃。

　　三是加強供應(yīng)鏈管理。行政令認為聯(lián)邦政府所使用軟件的安全性對聯(lián)邦政府履行關(guān)鍵職能至關(guān)重要，并由此提出“關(guān)鍵軟件”概念，要求聯(lián)邦政府必須提高軟件供應(yīng)鏈的安全性和完整性，優(yōu)先解決“關(guān)鍵軟件”問題。在 NIST 依據(jù)行政令要求發(fā)布的白皮書中，建議在行政令最初實施階段將“關(guān)鍵軟件”定義為側(cè)重于具有關(guān)鍵安全功能或在受到威脅時會造成重大危害的獨立、本地軟件，后續(xù)實施階段再涉及其他類別的軟件。有提案提出，為關(guān)鍵信息和通信技術(shù)建立并運營自愿的國家網(wǎng)絡(luò)安全認證和標簽計劃，創(chuàng)建標準化培訓(xùn)項目，幫助關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者更好地了解使用的技術(shù)和產(chǎn)品的安全性。

　　四是加強案件打擊。司法部提交的《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見》備忘錄提出必須強化和集中內(nèi)部對勒索攻擊團伙的調(diào)查和起訴，將勒索攻擊、數(shù)字領(lǐng)域敲詐勒索，以及反病毒服務(wù)、僵尸網(wǎng)絡(luò)、加密貨幣等為勒索攻擊提供支撐的基礎(chǔ)設(shè)施均納入打擊范圍。此外，多部提案提議修訂《計算機欺詐和濫用法》，提出在第 1030 條“與計算機有關(guān)的欺詐及其相關(guān)活動”后新增一條“嚴重損害關(guān)鍵基礎(chǔ)設(shè)施計算機”，將“明知或企圖對關(guān)鍵基礎(chǔ)設(shè)施計算機運營造成實質(zhì)性損害”的行為認定為犯罪，處以罰款和/或不超過 20 年的監(jiān)禁。也有提案提出，應(yīng)研究允許私營實體在指定聯(lián)邦機構(gòu)的監(jiān)管下，對非法網(wǎng)絡(luò)入侵采取反擊行動。

　　三、對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護的啟示

　　《網(wǎng)絡(luò)安全法》確立關(guān)鍵信息基礎(chǔ)設(shè)施保護制度的基本框架，從預(yù)防、控制、打擊三個維度明確保護要求?！毒W(wǎng)絡(luò)安全法》施行以來，網(wǎng)信、公安以及行業(yè)主管監(jiān)管部門積極推進關(guān)鍵信息基礎(chǔ)設(shè)施識別認定、安全保護和監(jiān)督檢查等工作，并以國家標準切入選取部分重點行業(yè)和領(lǐng)域率先開展安全保護試點。2020 年，公安部發(fā)布《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》，明確由公安機關(guān)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。近期公布的《黨委（黨組）網(wǎng)絡(luò)安全工作責任制實施辦法》，將關(guān)鍵信息基礎(chǔ)設(shè)施遭遇網(wǎng)絡(luò)攻擊的特定情形認定為嚴重危害網(wǎng)絡(luò)安全的行為，要求逐級倒查，追究責任。2021 年 8 月，歷時五年制定的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式公布?！稐l例》是對前期我國在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面嘗試與探索的經(jīng)驗總結(jié)，通過優(yōu)化監(jiān)管體制、調(diào)整識別規(guī)則、強化安全要求，為后續(xù)貫徹落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供指引。

　　在此次輸油管道勒索攻擊事件中，美國在事件報告、供應(yīng)鏈安全、案件打擊方面的處置及立法反思，對在《條例》實施后落實我國關(guān)鍵信息基礎(chǔ)設(shè)施保護制度具有參考價值。

　　1. 堅持積極防御，加強風(fēng)險識別

　　勒索攻擊的非對稱性持續(xù)加劇。美國諸多提案強調(diào)事前風(fēng)險識別和信息共享，提出將聯(lián)邦投資的重點從被動的災(zāi)難恢復(fù)轉(zhuǎn)向風(fēng)險驅(qū)動的主動投資。我國關(guān)鍵信息基礎(chǔ)設(shè)施保護應(yīng)強化積極防御理念，充分理解和認識關(guān)鍵信息基礎(chǔ)設(shè)施的“關(guān)鍵性”。

　　《網(wǎng)絡(luò)安全法》和《條例》均強調(diào)建立監(jiān)測預(yù)警機制?！稐l例》進一步將開展本單位網(wǎng)絡(luò)安全監(jiān)測、檢測和風(fēng)險評估的職責賦予專門安全管理機構(gòu)?？山柚\營者每年至少進行一次的網(wǎng)絡(luò)安全檢測和風(fēng)險評估，及有關(guān)部門的網(wǎng)絡(luò)安全檢查檢測工作，加強風(fēng)險識別，發(fā)揮網(wǎng)絡(luò)安全服務(wù)機構(gòu)、第三方安全平臺、信息安全測試員在風(fēng)險識別方面的作用，重視部署物聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用可能引入的風(fēng)險及其在安全保障方面的價值，切實用好業(yè)已建立的應(yīng)急演練、監(jiān)測預(yù)警和信息通報機制。

　　2. 加強應(yīng)急處置，多部門形成合力

　　輸油管道勒索攻擊事件發(fā)生后，科洛尼爾公司、美國聯(lián)邦政府交通、能源、國土安全、FBI 等多部門共同參與處置，確保能源供應(yīng)，消解事件影響。公安部《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》已明確要求公安機關(guān)、網(wǎng)絡(luò)安全行業(yè)主管部門等主體依法履行職責，形成網(wǎng)絡(luò)安全保護工作合力。

　　面對網(wǎng)絡(luò)安全事件，公安機關(guān)、保護工作部門、關(guān)鍵信息基礎(chǔ)設(shè)施運營者、可能涉及的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者等主體應(yīng)在各自職權(quán)和義務(wù)范圍內(nèi)參與事件處置，協(xié)同聯(lián)動。保護工作部門應(yīng)采取措施，維持關(guān)鍵信息基礎(chǔ)設(shè)施正常運轉(zhuǎn)，優(yōu)先保障能源、電信等領(lǐng)域安全運行，最小化事件影響。同時，發(fā)揮公安機關(guān)、CNCERT 在內(nèi)的應(yīng)急響應(yīng)中心等部門在預(yù)警通報、追蹤溯源方面的能力?！毒W(wǎng)絡(luò)安全法》第五十七條、第五十八條在事件處置過程中的適用。運營者應(yīng)切實承擔主體責任，落實網(wǎng)絡(luò)安全事件/威脅報告義務(wù)，用好現(xiàn)有事件分級及應(yīng)急響應(yīng)相關(guān)規(guī)定，將其轉(zhuǎn)化為自身網(wǎng)絡(luò)安全事件應(yīng)對能力。

　　3. 重視數(shù)據(jù)安全，銜接分類分級

　　對數(shù)據(jù)進行加密、以披露數(shù)據(jù)相威脅是勒索攻擊的常見威脅手段。作為國家基礎(chǔ)性戰(zhàn)略性資源，數(shù)據(jù)安全已成為關(guān)鍵信息基礎(chǔ)設(shè)施保護的重要環(huán)節(jié)，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等遭遇數(shù)據(jù)泄露可能帶來的危害程度也是影響關(guān)鍵信息基礎(chǔ)設(shè)施認定的依據(jù)之一。數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法《數(shù)據(jù)安全法》明確我國建立數(shù)據(jù)分類分級保護制度，在此基礎(chǔ)上提出“重要數(shù)據(jù)”“國家核心數(shù)據(jù)”概念，并通過第三十一條再次明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者的重要數(shù)據(jù)出境安全管理要求。

　　《網(wǎng)絡(luò)安全法》的網(wǎng)絡(luò)安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護制度與《數(shù)據(jù)安全法》的數(shù)據(jù)分級分類、重要數(shù)據(jù)、國家核心數(shù)據(jù)均是分等級保護、突出重點理念的體現(xiàn)。關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域需關(guān)注《數(shù)據(jù)安全法》下數(shù)據(jù)分類分級、重要數(shù)據(jù)識別與保護要求，以《條例》要求的專門安全管理機構(gòu)建立健全個人信息和數(shù)據(jù)安全保護制度為切入落實運營者主體責任，將保障關(guān)鍵信息基礎(chǔ)設(shè)施安全作為保障數(shù)據(jù)安全的途徑之一，推動關(guān)鍵信息基礎(chǔ)設(shè)施保護中的數(shù)據(jù)安全從靜態(tài)安全走向動態(tài)安全。

　　4. 延伸安全視角，重視供應(yīng)鏈安全

　　鑒于單次供應(yīng)鏈攻擊所產(chǎn)生的級聯(lián)效應(yīng)可能造成廣泛影響，供應(yīng)鏈攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域不容忽視的安全問題之一。太陽風(fēng)（SolarWinds）供應(yīng)鏈攻擊事件，以及美國近期發(fā)生的利用托管服務(wù)提供商 Kaseya 對其供應(yīng)鏈上的客戶進行勒索攻擊的事件均是例證。美國在行政令和諸多提案中均強調(diào)加強供應(yīng)鏈安全，幫助關(guān)鍵基礎(chǔ)設(shè)施運營者識別和管理供應(yīng)鏈風(fēng)險。

　　為全面保護關(guān)鍵信息基礎(chǔ)設(shè)施安全，應(yīng)延伸安全視角，將供應(yīng)鏈上各主體納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范疇。完善制定網(wǎng)絡(luò)產(chǎn)品和服務(wù)管理辦法，落實網(wǎng)絡(luò)安全審查、云計算服務(wù)安全評估、網(wǎng)絡(luò)產(chǎn)品安全漏洞管理、國家強制性標準《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》等制度。優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，將網(wǎng)絡(luò)安全保障和抗風(fēng)險能力作為考量因素之一；建立并維護供應(yīng)商清單，厘清直接和間接供應(yīng)商，加強對供應(yīng)鏈人員及機構(gòu)管理，明確技術(shù)支持和安全保密義務(wù)，要求及時報告網(wǎng)絡(luò)安全事件及風(fēng)險，將供應(yīng)商納入網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制。同時，加快推進關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化替代，鼓勵開發(fā)核心技術(shù)和底層技術(shù)。

　　5. 強化法律責任，加強案件打擊

　　勒索攻擊的打擊正變得愈加艱難?？缇嘲l(fā)動攻擊，借助加密貨幣、加密通信等工具，“勒索軟件即服務(wù)”模式的盛行使勒索攻擊的門檻進一步降低，溯源追蹤難度加大。在輸油管道勒索攻擊事件中，美國通過執(zhí)法行動摧毀 DarkSide 服務(wù)器，成功追回支付的部分贖金，沉重打擊勒索攻擊犯罪團伙；同時，在立法提案中提出增加“嚴重損害關(guān)鍵基礎(chǔ)設(shè)施計算機”罪名。

　　《網(wǎng)絡(luò)安全法》實施以來，我國公安機關(guān)通過“凈網(wǎng)”等專項行動和日常監(jiān)督檢查持續(xù)加強網(wǎng)絡(luò)安全領(lǐng)域執(zhí)法，嚴厲打擊網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)黑灰產(chǎn)等違法犯罪活動，取得顯著成效?！稐l例》要求公安機關(guān)和國家安全機關(guān)加強打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施實施的違法犯罪活動。為推動關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域執(zhí)法進入新階段，我國需在罪名認定、打擊手段、跨境打擊等方面做好準備。

　　首先，考慮《刑法》現(xiàn)有罪名的覆蓋程度，研究增加關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的專門罪名，考量現(xiàn)有計算機類型犯罪的法律責任與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件導(dǎo)致的危害后果之間的適配性。其次，我國現(xiàn)行法律沒有針對勒索軟件的專門性規(guī)定，但針對制作傳播計算機病毒、敲詐勒索、信息網(wǎng)絡(luò)技術(shù)支持和幫助等危害網(wǎng)絡(luò)安全方面的法律規(guī)定相當完善。靈活運用現(xiàn)有規(guī)定和“一案雙查”機制，強化行政執(zhí)法，斬斷勒索攻擊上下游利益鏈條。最后，《網(wǎng)絡(luò)安全法》和《條例》均明確我國有權(quán)處置來源于境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅；境外主體從事危害我國關(guān)鍵信息基礎(chǔ)設(shè)施活動，造成嚴重后果的，我國有權(quán)依法追究法律責任，并采取制裁措施。面對跨境勒索攻擊，應(yīng)在推動國際合作，呼吁各國在管轄范圍內(nèi)打擊勒索攻擊的同時，強化自身能力和潛在威懾力，用好對等制裁措施。