关键基础设施企业网络威胁情报共享法律问题 ——欧美的经验与做法
提要:网络攻击威胁已成为政府和企业共同面临的挑战。为应对这一挑战,已经有多种方案被提出。网络威胁情报共享已经成为政府和企业网络安全专业部门广泛接受的一种方法。网络威胁情报是指可以帮助组织发现、评估、监测和响应网络威胁的任何信息。它包括反映网络被渗透程度的指标,威胁制造者采用的战术、技术和程序,检测、遏制或防止网络攻击的措施建议,以及事件的分析结果。网络威胁情报共享已经成为提升网络安全情报和防御整体能力的有效途径。但是,有些法律责任规定可能会阻止企业参与网络威胁情报共享。被引用最多的法律责任来自隐私和数据保护法;而反托拉斯法、过失侵权法和知识产权法也被视为是潜在的法律责任来源。本研究中分析了隐私和数据保护法条款在多大程度上支持或阻碍了网络威胁情报的共享实践。这将为有意参与网络威胁情报共享的企业(尤其是关键基础设施保护相关的企业)提供指导和鼓励。
1. 引言
近年来,网络事件造成的损失一直在不断上升。国际互联网协会“线上信任联盟”(OTA)发布的报告显示,2018年发生的超过200万起网络安全事件,造成了超过450亿美元的损失。该报告指出,勒索软件的经济影响增加了60%,商业电子邮件泄露造成的损失增加了1倍,加密劫持事件增加了2倍多。针对关键基础设施的网络攻击也呈增长态势。例如,根据美国国土安全部的统计,54%的公用事业部门被调查者认为,2020年其运行的关键基础设施将遭到网络攻击。考虑到网络安全威胁形势的复杂性,政府和企业以及其他组织不能仅依靠内部网络威胁情报来保护自身免受这些不断上升网络攻击的侵害。因此,网络威胁情报共享被提出,作为一种提升网络安全态势感知能力和防御效率的有效途径。
网络威胁情报共享通常涉及在性质相近的实体间交换网络威胁有关的信息,目的是通过利用集体的知识、经验和能力来共同提升网络安全态势。多项研究表明,网络威胁情报共享是组织保护自身免受网络攻击的有效工具,它使组织能够及时掌握网络攻击不断变化的趋势,并实施最有效策略来应对这些攻击。
网络威胁情报共享包括多种形式:可以由一个政府部门共享给另一个政府部门或者企业,也可以在企业之间相互共享,或者是企业选择与政府分享其拥有的网络威胁情报。本研究主要分析了企业间相互共享网络威胁情报时面临的法律问题。例如,当某个部门,特别是关键基础设施部门中的几家公司通过正式机制或协议共享网络威胁情报时,此类共享框架将使企业能够利用共享的知识和技术更好地保护自身的资产,同时协助其他人做好防护。
希望参与网络威胁情报共享的企业面临若干法律问题,必须认真分析其准备分享的任何信息是否包含可能受到数据保护和隐私法、反托拉斯法、过失侵权法或知识产权法保护的资料。数据保护和隐私法一直受到关注,其已经成为最受关注的问题,它阻碍了部分企业参与网络威胁情报共享的热情。欧盟、挪威和美国制定了有关网络威胁情报共享的法规,为全球相关法律实践提供了经验。
本文首先介绍了网络威胁情报共享的基本概念,包括:现有的网络威胁情报共享体系结构、意义和挑战。其次,对现有的有关网络威胁情报共享的法规进行了调查,这为愿意参与网络威胁情报共享的企业提供了指导和激励。最后,讨论了现有法规如何可以更好改进,以提升企业参与网络威胁情报共享的意愿。通过分析现有法规条款在何种程度上支持或反对网络威胁情报共享,可以为愿意参与网络威胁情报共享的企业(尤其是关键基础设施企业)提供指导和鼓励。
本文第2部分介绍了网络威胁情报共享的基本概念,包括现有网络威胁情报共享体系结构、意义和挑战。第3部分概述了欧盟、挪威和美国有关网络威胁情报共享的法规情况,这些法规对企业间网络威胁情报共享实践发展的影响。第4部分讨论了现有法规如何更好解决企业参与网络威胁情报共享的愿意问题。第5部分是本文的结论及对未来工作的建议。
2. 背景
首先,将介绍网络威胁情报共享的基本概念,包括现有的网络威胁情报共享体系结构、主要意义和面临的挑战。这将为分析与企业间网络威胁情报共享相关的法律问题提供必要的背景知识。
2.1现有的网络威胁情报共享体系结构
网络威胁情报是指可以帮助组织发现、评估、监测和响应网络威胁的任何信息。它包括反映网络被渗透程度的指标,威胁制造者采用的战术、技术和程序,检测、遏制或防止网络攻击的措施建议,以及事件的分析结果。不断发展变化的网络攻击威胁对各类组织造成损害,组织不再能够仅仅依靠内部威胁情报来确保自身的网络安全。因此,网络威胁情报共享被提出,作为通常具有相近特征组织间共同应对网络威胁复杂局面的及时有效的工具。
目前有两种基本网络威胁情报共享体系结构可供企业进行选择。第一种是所谓的“集中式”体系结构,即有一个处于中心位置的组织负责所有参与企业之间的网络威胁情报交换,该组织还可以对汇总的信息进行进一步处理以提供更丰富的情报。中心组织采用开放的标准数据格式和传输协议来确保网络威胁情报实时无缝传递,从而获得必要的互操作性。集中式体系结构的典型代表是“信息共享与分析中心”(ISAC)。
信息共享与分析中心(ISAC)为收集网络威胁情报(在许多情况下与关键基础设施有关)提供了中心化资源,并促进企业和政府机构间的主动信息共享。ISAC通常是关键基础设施拥有者和运营商代表共同发起的受信任实体,最初是在美国纽约世贸中心遭受第一次恐怖袭击后创建的,其主要目标是确保政府机构和企业间的有效合作,以更好地保护美国的关键基础设施。欧洲立法也倡导建立类似ISAC的网络安全合作组织。例如,NIS指令鼓励通过计算机安全事件响应小组(CSIRT)报告事件信息和共享涉及网络威胁的情报。
第二种网络威胁情报共享体系结构是所谓的端到端结构,在该体系结构下,愿意彼此共享网络威胁情报的企业直接进行共享,无需通过中介组织。该体系结构可以实现极大的敏捷性,因为参与者可以直接从源头获得网络威胁情报,并且消除了集中式体系结构中所带来的单点故障问题。端到端网络威胁情报共享体系结构的典型示例是电力部门。
无论决定采用何种网络威胁情报共享体系结构,企业都需要在开始共享前建立信息共享规则。美国国家标准和技术研究院(NIST)《网络威胁情报共享指南》建议了如下规则:
● 列举可以共享的威胁信息类型。
● 描述允许共享的条件和情形。
● 确定被批准的威胁信息收件人。
● 描述对所共享信息进行编辑或脱敏有关要求。
● 确定是否允许源头溯源。
● 应用信息处理定义,描述接收者的信息保护义务。
这些规则将有助于确保网络威胁情报的公布和传播受到控制。目的是如果信息处理不当,防止信息共享可能会对组织造成严重的法律影响。
然而,对NIST而言,上述规则仍不够完善。具体而言,对信息进行脱敏的问题很难基于单条记录就可以解决。使用多条匿名记录或进行查询,可以抵消匿名化或以其他方式填补查询空白。因此,必须接受脱敏仅能作为一种防止敏感信息泄露的弱化的匿名方式,或者必须采取更为严格的措施。
2.2网络威胁情报共享的意义
网络威胁情报共享可以使企业获得更丰富的网络威胁情报,这是不参加这种共享计划所无法获得的。企业可以利用所有参与企业的知识、经验和能力形成共享资源来共同改善整体安全态势。这可以确保对一个企业的监测成为对另一个企业的有效预防。
企业可通过多种方式利用共享的网络威胁情报。企业可以将网络威胁情报用于操作目的,例如使用新的指标和配置来更新其网络安全控制以进行连续监测,以发现最新的攻击和破坏。共享的网络威胁情报也可用于战略性目的,例如在计划对组织的安全架构进行重大革新时。
在特征相近的企业间共享网络威胁情报具有重要意义,因为参与共享的企业通常会使用相似战术、技术和流程(TTP)并管理相同类型基础设施。同类型企业紧密协作共同防御组织严密、能力高强的攻击者,其抵御网络威胁的及时性和效率将大大提升。此类联盟将使所有参与企业能够降低风险并改善整体安全态势。
网络威胁情报共享带来的其他优势包括:共享态势感知,企业可利用所有参与企业的知识、经验和分析能力的集合;提升网络安全防御水平,企业能够根据感知的威胁态势实施更有效的网络安全防护,提升事件检测能力,更有效地响应事件并从中恢复;丰富网络安全知识,进一步增加网络威胁情报价值;以及更高的网络防御敏捷性,参与企业可以更快速适应不断发展变化的网络安全威胁。尽管网络威胁情报共享带来很多好处,但其仍面临一系列挑战,需要认真应对。
2.3网络威胁情报共享面临的挑战
网络威胁情报共享的前提条件之一是在参与企业间建立信任关系。这个过程非常具有挑战性,因为需要开展大量的工作来建立发展和维持信任。但是,企业与所有其他准备参与网络威胁情报共享的企业间建立信任的能力,对于任何网络威胁情报共享方案的成功都至关重要。然而,在参与企业之间建立信任关系所需的巨大成本和精力,有可能会使企业打消参与网络威胁情报共享计划的打算。
实现互操作性和自动化也是网络威胁情报共享面临的挑战。同采用集中式体系结构的共享组织相比,采用端到端共享体系架构的共享组织的互操作性问题更为复杂。然而,两种类型的共享体系架构都必须考虑自动化带来的附加的复杂性。参与企业必须就所采用的数据格式和描述方法达成一致以实现自动化。这需要企业投入额外的资源,以确保网络威胁情报的自动化共享,并可以在参与企业间较容易地复用。
参与网络威胁情报共享的企业可能不愿意公开其自身身份,以避免对企业声誉造成不必要的风险。但由于不愿意透露身份,则可能导致共享网络威胁情报的可信度遭到怀疑。同时,如果共享情报的来源未知,则参与企业自然会质疑其可信度。因此,愿意参与网络威胁情报共享的企业必须正确权衡对组织声誉的风险与不共享威胁情报带来的危险。
另一个可能阻碍企业参与网络威胁情报共享的挑战是不完整或虚假的情报带来的问题。这意味着任何参与企业有可能共享不完整或错误的情报,这些情报可能污染或误导算法或分析人员。此举的危险在于其可能会削弱共享努力或鼓励其他参与企业共享有问题的情报。当造成过失时,任何责任免除通常都会无效,因此必须考虑在网络威胁情报共享方案中伴随一定的数据质量责任。
网络威胁情报共享可能带来的法律责任是准备参与此类共享计划的企业必须重视的问题。这是因为与网络威胁情报共享有关的法律问题往往非常复杂,并且几乎没有确定的解决方案。一些法规已经被提出并实施以解决这些问题。例如,美国国会于2015年批准了《网络安全信息共享法》(CISA),为参与网络威胁情报共享的组织提供法律保护。在欧洲,类似的网络安全框架针对网络威胁情报共享可能产生的任何责任提供了类似的保护,以保护整个欧盟的网络信息系统。这些法律保护要求政府和企业等在共享网络威胁情报时遵循既定规则。接下来将对这些法规进行回顾,以评估其在多大程度上支持或阻碍了企业间的网络威胁情报共享。
3. 与网络威胁情报共享相关的法律法规
本节对现有促进网络威胁情报共享的法律法规进行了研究调查和评估,旨在为有意愿参与网络威胁情报共享的企业提供基本的指导和鼓励。
3.1欧盟法律法规
近年来,欧盟提出了许多法律法规以促进网络威胁情报共享。其中,较为重要的法规是2016年7月6日颁布的欧盟指令2016/1148,也称为“网络和信息系统指令”(NIS);以及《一般数据保护条例》(GDPR)(2016年4月27日欧盟法规2016/679); 以及《欧盟网络安全法》(2019年4月17日第2019/881号条例)。对于欧盟国家来说,《一般数据保护条例》是具有立法约束性的法案,可在整个欧盟范围内直接适用;虽然《网络和信息系统指令》是一项立法法案,其中规定了所有欧盟国家都必须实现的目标(最低级别的法律规定),但各个国家都有义务颁布自己的法律以实现这些目标。
《网络和信息系统指令》是首个欧盟范围内的网络安全法规,旨在加强欧盟的网络安全。该指令通过提供建立信息共享与分析中心的有利环境,促进欧盟国家国内与国家间的网络威胁情报共享,从而保护关键基础设施。2016年,《网络和信息系统指令》通过并成为欧盟指令,要求每个成员国通过符合或改编自该指令的国家法规。《网络和信息系统指令》包含三个主要部分:
● 国家能力:欧盟成员国必须具备某些国家网络安全能力,例如国家计算机安全事件响应小组,并且必须进行网络演习等。
● 跨境合作:欧盟国家之间的跨境合作,包括现行欧盟计算机安全事件响应小组以及网络和战略性网络和信息系统合作小组。
● 关键部门的国家监管:欧盟成员国必须监管本国关键市场运营商的网络安全:关键部门(能源、运输、水资源、卫生和金融)的事前监管,关键数字服务提供商的事后监管(互联网交换点、域名系统等)。
《网络和信息系统指令》指出,“确保网络和信息系统安全的责任在很大程度上取决于基本服务运营商”。该指令针对不同的部门制定了各自的责任和义务,关键基础设施运营商的任务更为重大。提供基本服务的企业(关键基础设施运营商)必须确保对其网络和信息系统的保护。该指令鼓励建立风险管理文化,例如风险评估和实施适当的安全措施,以保护关键基础架构领域的网络和信息系统,包括网络威胁情报共享。
《一般数据保护条例》是欧洲及其他地区数据保护和隐私法的典范。该法规旨在协调欧洲的数据和隐私法律,提高对欧盟公民的保护水平,并赋予公民对其个人数据的更大控制权。该法规“保护自然人的基本权利和自由,尤其是个人数据保护权”。此外,该法规重新规定了欧洲组织为全球欧盟公民提供商品及服务时处理个人数据的方式。《一般数据保护条例》包含了处理欧洲经济区(EEA)内的个人(数据主体)数据有关的规定和要求,具体为适用范围、数据保护规定、实施安排的应用及对象等。
《欧盟网络安全法》的主要目标是为欧洲网络与信息安全局提供永久授权,并建立网络安全认证框架。该法案旨在调配更多资源并搭建法律框架,将成员国、欧盟机构、机关、事务局以及其他公私利益攸关方的网络安全能力提升至欧盟水平,以此加强欧洲网络与信息安全局管理。《欧盟网络安全法》中与本文关联性最强的规定是第6条第2款,其中规定:“欧洲网络与信息安全局应为现有工具、程序和解决与信息共享相关的法律问题提供最佳方案与指导,以支持部门内部以及部门之间的网络安全信息共享(尤其是指令附录II中所列部门之间的信息共享)。
3.2挪威和美国的法律法规
本节将探讨挪威和美国的法律法规,研究欧盟以外其他国家/地区有关网络威胁情报共享的工作。挪威是欧洲经济区(EEA)的成员,因此也适用欧盟法规。与其他EEA成员国一样,挪威必须按照欧盟指令颁布与欧洲经济区相关的法律。挪威《国家安全法》(《安全法》)是挪威与本文研究课题关系最为密切的法律。2015年《网络安全信息共享法》(CISA)是美国最重要的网络法规,因为该法案建立了在私营部门和政府实体之间共享网络安全信息的机制。《网络安全信息共享法案》不仅在美国有重要意义,也在全世界影响深远,值得探究。
挪威《安全法》于2019年1月1日生效,有三个目的:维护挪威的主权、领土完整和民主治理以及其他的国家安全利益;预防、检测和应对安全威胁;确保按照符合民主社会的基本法律原则和价值观执行安全措施。该法案主要涉及安全评级信息、信息系统和对象或基本国家功能所必需的基础结构(关键基础结构),适用于州、县和市级机构以及可访问或产生安全分类信息的商品或服务的供应商。例如,第2条第(3)款要求“安全机构应确保适用法律的企业可以访问有关威胁评估的信息,以及对公司的预防性安全工作很重要的其他信息”。这意味着该法案不仅支持组织对其信息系统进行监控,以防止、检测和应对网络事件,而且还为组织实施包括网络威胁信息共享在内的安全措施提供了更大的灵活性。
美国《网络安全信息共享法》(CISA)于2015年12月18日签署成为法律。该法律包含两个主要组成部分:授权公司监视和实施针对其自身信息系统的防御措施以应对网络威胁,并提供某些保护措施以鼓励公司共享网络威胁信息。该法案的第一部分对愿意参与网络威胁情报共享的私营部门机构最为有利。其中指出“非联邦实体可以彼此或与联邦部门和机构共享网络威胁信息”。该法案提供了数种保护措施,包括免责保护、非弃权特权和保护不受信息自由法(FOIA)披露。参与网络威胁共享时,受到以上保护的组织必须符合该法案的要求。
3.3网络威胁信息共享的法律含义
本文对欧盟、挪威和美国与网络威胁情报共享相关的现有法律法规进行了调查。本文的重点是与个人数据保护相关的条款。这些法律法规的总体主题是网络威胁情报共享的合法性,但应注意不要共享受数据保护和隐私法保护的信息。除了上一章节所作的调查,本文将在本小节中讨论当今与企业之间网络威胁信息共享的法律含义相关的从业者趋势。
许多研究考虑了《一般数据保护条例》对网络威胁情报共享的影响程度。第4条第1款将个人数据定义为:
网络威胁情报可能包含敏感和识别信息,例如IP和电子邮件地址。愿意参与网络威胁情报共享的企业必须注意这点,以确保遵守法律和法规要求。
根据《一般数据保护条例》,网络威胁情报共享具有合法性。参与法案计划的企业需要满足该法案第6条的要求,即处理网络威胁信息个人数据需要具备“合理利益”。此外,该法案第47、49和50条陈述支持处理个人数据以防止欺诈,确保网络和信息安全并指示可能的行为或对公共安全的威胁。以上皆为网络威胁情报共享的目标。
有关网络威胁情报在企业间共享的法律问题。数据保护和隐私法会影响企业参与网络威胁情报共享的意愿。以《一般数据保护条例》为例,考虑到其要求不仅适用于在欧盟成立的公司,也适用于第三国和国际组织,以调查企业之间自动共享信息是否合法。根据其第6条第1款第f项的规定,企业间共享网络威胁情报可能对于数据控制者的合法利益而言是必要的,并且出于公共利益的考虑,显然合理且合法。
同样,当企业参与彼此共享网络威胁情报时,该法案第6条第1款第f项可以作为处理个人数据的法律依据。如果第6条所列的其他情况均不能作为法律依据,则合法权益条款可以允许数据控制者处理个人数据。根据该规定,共享网络威胁情报的合法性需要通过评估检验。该检验是基于处理数据的合理性和必要性,以及数据掌握者和数据主体的利益权衡。根据第29条工作组的规定,“该利益平衡检验应考虑相称性问题、个人数据与诉讼的相关性以及对数据当事人的后果”。
本文重点是与个人数据保护有关的条款,但也有其他问题可能会让企业对参与网络威胁情报共享产生顾虑。希望共享网络威胁情报的企业需要考虑要共享的信息是否包含可能受反托拉斯法、过失侵权法或知识产权法保护的材料。本文所探讨的法律法规仅对遵守网络威胁情报共享要求的企业承担责任,包括删除可能存在的个人数据。例如,美国司法部发表声明,明确指出网络威胁情报共享不会引发反托拉斯问题。参与此类共享活动的企业没有违反反托拉斯法,因为共享信息本质上是技术性的,与共享竞争性敏感信息(例如当前或未来的价格以及产出或业务计划)有本质区别。
总体来说,愿意参与网络威胁情报共享的企业要首先要考虑打算共享的信息是否包含受数据保护和隐私法保护的材料。但是,处理网络威胁情报以及随后与他人共享以保护网络基础设施可以被视为“合法利益”。因此,与上述研究内容一致,《一般数据保护条例》第6条第1款第f项可以用作企业参与共享网络威胁情报的法律依据,但该条例第5条所述的原则仍需要探究。
4. 讨论
本节将探究现有法律和法规如何有效解决企业参与网络威胁信息共享的顾虑。法律和法规中的歧义通常会滋生诉讼,诉讼成本可能会让私人实体不愿参与网络威胁情报共享。本节还将讨论是否存在阻碍解决明确顾虑的法律法规要求。
现有法律法规和从业人员认同网络威胁情报共享的合法性。但是,有意参与网络威胁情报共享的组织必须考虑由于个人信息的披露、违反合同条款以及敏感或机密信息披露而引起的问题。例如,《网络安全信息共享法》为参与网络威胁情报共享的企业提供了多种保护措施,包括免受责任保护、非豁免特权和防止《信息自由法》披露。若有疏忽导致个人信息泄露,违反合同条款或机密信息泄露,以上保护措施可能会失效。
参与共享的组织必须谨慎共享包含个人信息的网络威胁情报。但是,当有必要进行此类共享时,《一般数据保护条例》第6条第1款第f项可以作为法律依据。包含个人数据的网络威胁情报也会引发自动化分享的其他问题。这就要求私人实体投资更多的资源,考虑共享信息包含个人信息的可能性。《一般数据保护条例》第25和32条为如何实施技术和组织措施以减轻与处理此类数据相关的风险提供了建议。在部署自动网络威胁情报共享系统时,组织必须检查是否包含此类技术和组织措施。
另一个阻碍解决问题的法律法规要求的问题是违反合同条款可能引起的民事责任。例如,如果某公司交换的网络威胁情报中包含其商业机密,则可能会使其董事承担民事责任。披露敏感或机密信息可能会严重损害国家利益,也会让造成明确顾虑的法律法规要求难以解决。
企业如何支持决策过程也值得探究。这将使企业按照现有法律法规共享网络威胁情报。有研究提出了一个模型,可用于评估在《一般数据保护条例》共享网络威胁情报时支持决策的法律要求,并叙述了其对网络威胁情报共享的法律效用,并将现行法律条款转换为允许组织在共享网络威胁情报时符合个人信息共享要求的法则。
上述工作可以扩展为一种整体化方法,指导愿意参与网络威胁情报共享的企业。开发这种参考框架的整体方法,除了从网络威胁情报共享体系结构中获得功能和非功能要求外,还需要从现有法律法规中提取法律要求。然后,可以将这些要求转换为指导组织共享网络威胁情报的规则。该框架能让组织证明其满足网络威胁情报共享的法律要求,并能鼓励私人实体加入共享计划。
5. 结论
毫无疑问,网络威胁情报共享可以提高整体网络情报和组织防御能力。本文研究了欧盟、挪威和美国与网络威胁情报共享有关的现有法律法规。首先,本文介绍了网络威胁情报共享的基本概念,包括现有的网络威胁情报共享体系结构。然后探讨了共享的意义和挑战。目前已有相关法律法规鼓励企业之间的网络威胁情报共享。但是,数据保护和隐私法是企业最大的顾虑,可能会影响其参与网络威胁情报共享的意愿。
本文研究表明,按照《一般数据保护条例》中处理可能包含个人数据的网络威胁情报的规定,为保护网络基础设施并改善整体网络情报和防御能力,处理网络威胁情报以及与他人共享可视为“合法利益”。如果不能援引第6条所列的其他情况作为法律依据,则合法权益条款已足够证明合法性。因此,《一般数据保护条例》第6条第1款第f项可以作为企业参与网络威胁情报共享的法律基础,尤其是对关键基础设施的保护。
未来的工作将着眼于考虑组织实现网络威胁情报共享过程自动化的方法。该类方法仍将符合现有法律法规的要求。例如,《一般数据保护条例》第25和32条就如何实施技术和组织措施以减轻与处理个人数据相关的风险提供了建议。因此,可以评估这些法律要求,以实现网络威胁情报自动化共享,从而将现有法律条款转换为规则,使组织能够在合法合规的情况下共享网络威胁情报。