随着新兴信息技术的应用和日益更新,网络安全风险不断升级,在当前不断变化的网络安全局 势下,多个国家及地区相继出台了多项网络安全和防勒索软件攻击的相关立法,以促进企业及 机构提升网络安全防御能力。
2021年美国相继发生SolarWinds事件、Microsoft Exchange事件和Colonial Pipeline事 件等一连串的重大网络安全事件,其中SolarWinds事件更是直接威胁到美国联邦机构 和美国各大公司的信息安全,这也直接促使了拜登政府在2021年5月12日签署了 《Executive Order on Improving the Nation’s Cybersecurity》(改善国家网络安全的 行政命令),成为美国当前在网络安全方面最详细的行政命令之一。
2020年11月,美国众议院金融服务委员会资深共和党人Patrick McHenry提出了 《Ransomware and Financial Stability Act》(勒索软件和金融稳定法案),该法案旨在 为金融机构提供勒索软件防御和响应指南。法案内容主要包括,当金融机构遭受勒索 软件攻击时,应及时通知财政部金融犯罪执法网络(FinCEN),主动提供攻击事件及 相关赎金的细节,并做好保密工作。同时,法案对高额赎金的支付规则作出了规定, 即金融机构支付的赎金一旦超过10万美元,就需要获得财政部的特别授权。
澳大利亚联邦的议会发布的《Ransomware Payments Bill 2021》(勒索软件付款法 案2021)中要求受害实体必须在向黑客团伙支付赎金之前,通知澳大利亚网络安全中 心(ACSC),且支付了勒索赎金的政府部门、企业等实体必须主动将勒索攻击及赎 金等相关信息提供到指定执法部门,具体信息包括实体名称和联系方式、攻击者信 息、勒索金额、支付类型以及已泄露的数据字段等。
在全球数字化和互联程度不断提高的背景下,网络犯罪活动的数量不断增加,欧盟委 员会通过的《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS2指令)在 2023年1月13日正式生效,其取代了2016年生效的《网络和信息系统安全规则》 (NIS指令)。NIS2指令覆盖了更多的关键实体的部门和类型,并加强了企业需要遵 守的网络安全监管要求。
全球范围内针对关键信息基础设施的网络攻击破坏、窃密等日趋加剧,涉及众多行业 领域。在此背景下国务院公布的《关键信息基础设施安全保护条例》,并在2021年9 月1日正式生效。条例明确了关键信息基础设施的保护范围,以及对关键信息基础设施 运营者在保障稳定运行和维护数据的完整性、保密性和可用性提出了相应的要求。
金融机构及其客户受益于数字化技术的应用,但同时也带来了新的威胁和风险。为了 应对不断升级的网络风险,香港银行协会(HKAB)制定并发布了《Secure Tertiary Data Backup Guideline》(三级安全数据备份指南)。该指南提出的安全原则将帮助 银行等金融机构在面对已发生的破坏性网络攻击时及时恢复关键功能、服务和系统。
新加坡政府早在2016年的《网络安全战略》中提出加强对关键信息基础设施的网络弹 性,并以2018年通过的《Cybersecurity Act》(网络安全法)作为保护关键信息基础 设施的立法框架。2021年10月,新加坡政府发布《网络安全战略2021》以应对网络安 全的新威胁,其中在基础设施方面提出了加强数字基础设施以及政府系统的安全与弹 性,并将保护范围扩大到除关键信息基础设施外的实体与系统。
鉴于快速发展的网络威胁,为应对挑战国家安全和危害关键信息资产的黑客活动,阿 联酋电信和数字政府监管局于2020年3月发布了《UAE Information Assurance Regulation》(阿联酋信息保障条例)。该条例为实体建立、实施、维护和持续改进 信息保障提供了管理和技术信息的安全控制要求。
