美國輸油管道勒索攻擊事件敲響全球關鍵信息基礎設施保護警鐘。當前，勒索攻擊已成為各國網絡安全面臨的主要威脅，并呈現(xiàn)向關鍵信息基礎設施領域蔓延趨勢。自 2017 年WannaCry 勒索病毒爆發(fā)以來，大規(guī)模勒索攻擊事件屢屢發(fā)生，受害對象、危害后果、贖金要求不斷刷新。美國近期發(fā)生的成品油供應商科洛尼爾公司遭遇勒索攻擊一事，因觸發(fā)所謂“國家緊急狀態(tài)”而備受關注。

　　事件發(fā)生后，美國反思現(xiàn)有關鍵基礎設施保護的不足，密集出臺或推動十余部政策立法，力圖改變被動局面。近日，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）正式發(fā)布，推動我國進入關鍵信息基礎設施保護新階段。貫徹落實《條例》，充分應對勒索攻擊等新興網絡安全威脅，應秉持積極防御理念，強化風險識別和應急處置，重視數據安全和供應鏈安全，加強勒索攻擊案件打擊，綜合提升關鍵信息基礎設施安全防護能力。

　　一、美國輸油管道勒索攻擊事件的現(xiàn)實應對

　　2021 年 5 月 7 日，美國最主要的成品油供應商之一科洛尼爾公司（Colonial Pipeline）遭遇勒索攻擊，導致美國東海岸地區(qū) 45% 的燃油供應受到影響（以下簡稱“輸油管道勒索攻擊事件”）。為有效應對和緩解該事件造成的影響，科洛尼爾公司及美國聯(lián)邦政府多部門先后采取多項措施。

　　在應急處置方面，鑒于攻擊者在獲得對科洛尼爾公司網絡的初始訪問權限后針對 IT 網絡部署勒索軟件，為應對攻擊，該公司立即啟動應急響應，主動斷開某些 OT 系統(tǒng)以緩解事件影響。但該公司首席執(zhí)行官隨后承認已向黑客支付價值 440 萬美元的比特幣贖金。

　　5 月 11 日，美國白宮就此事件發(fā)布情況說明，表示拜登政府已發(fā)動全政府努力解決此事件，確保關鍵能源供應鏈安全。白宮成立機構間響應小組，以監(jiān)測和緩解事件影響，確保燃料持續(xù)流向受影響地區(qū)。多部門發(fā)布臨時豁免，允許多個州暫時使用不合規(guī)的燃料，并為燃料運輸提供更大的靈活性。同時，國土安全部下轄的網絡安全和基礎設施安全局（CISA）還與能源部合作，并與行業(yè)溝通，就關鍵基礎設施保護、減少勒索攻擊事件發(fā)生提出建議。

　　在犯罪打擊方面，5 月 10 日，F(xiàn)BI 確認黑客組織 DarkSide 實施了此次攻擊。5 月 13 日，DarkSide稱，由于執(zhí)法行動，他們目前已經無法通過安全外殼協(xié)議（SSH）訪問其基礎設施，包括數據泄露服務器、贖金支付服務器、主機界面等；由于來自美國的壓力，DarkSide 將終止勒索活動。6 月 7日，美國司法部表示已追回科洛尼爾公司支付給DarkSide 價值約 230 萬美元的比特幣贖金。

　　二、美國對輸油管道勒索攻擊事件的立法反思

　　事件發(fā)生后，白宮表示美國近 90% 的關鍵基礎設施由私營部門擁有或運營，但目前美國在關鍵基礎設施網絡安全保護方面缺乏戰(zhàn)略層面的協(xié)調一致的要求，現(xiàn)有各部門和州一級的相關立法雖在零碎地調整，但不足以支撐美國應對當前關鍵基礎設施面臨的威脅，亟需通過立法改變這一局面。對此，聯(lián)邦政府、國會采取一系列立法措施，涉及總統(tǒng)行政令、備忘錄、部門指令以及十余部國會立法提案，加強關鍵基礎設施保護和勒索攻擊打擊。

　　1. 立法響應

　　一是聯(lián)邦政府層面。5 月 12 日，拜登簽署第14028 號行政令《提升國家網絡安全的行政令》（以下簡稱“行政令”），明確政府將網絡事件的預防、檢測、評估和補救作為重中之重，所有聯(lián)邦信息系統(tǒng)都應滿足或超過網絡安全標準和要求。7 月 28 日，拜登再次簽署《改善關鍵基礎設施控制系統(tǒng)網絡安全的國家安全備忘錄》，指出關鍵基礎設施控制和運營系統(tǒng)面臨的網絡安全威脅是當前最重要和日益嚴重的問題之一。

　　二是部門層面。美國運輸安全管理局（TSA）發(fā)布兩項安全指令（以下簡稱“TSA 指令”），要求關鍵管道所有者和運營商報告已確認和潛在的網絡安全事件，制定并實施網絡安全應急恢復計劃，對當前網絡安全實踐進行審查并采取補救措施等。

　　三是國會層面。事件發(fā)生后，國會正在推動的相關立法提案包括《2021 年美國基礎設施防御法案》《管道安全法案》《2021 年網絡事件通知法案》《2021年供應鏈安全培訓法案》《研究網絡攻擊應對行為法案》《國際網絡犯罪預防法案》等十余部，涉及監(jiān)管職責、信息共享、應急響應、安全評估、供應鏈安全、關鍵基礎設施犯罪、網絡攻擊反制等諸多內容，試圖從整體關鍵基礎設施及能源、電力等細分領域全面提升安全保障能力。

　　2. 立法關切

　　一是加強風險識別。有提案認為，美國聯(lián)邦政府缺乏充足的網絡安全準備措施，且沒有用于投資關鍵領域的基金，使得政府無法將其對風險的理解納入戰(zhàn)略、規(guī)劃和行動，以推動實現(xiàn)關鍵基礎設施安全的核心目標，應從根本上改變聯(lián)邦政府在網絡安全方面的投資方式，將投資重點從被動的網絡安全災難支出轉向風險驅動，主動投資于加強網絡彈性。同時，有提案提出制定國家網絡演習計劃，該計劃應模擬成政府或關鍵基礎設施因網絡安全事件導致部分或全部喪失能力的場景。由 CISA 建立基于云的信息共享環(huán)境，整合聯(lián)邦政府網絡安全風險信息，幫助其全面了解對聯(lián)邦政府和關鍵基礎設施構成的網絡威脅。

　　二是加強事件報告。行政令要求與聯(lián)邦機構簽訂合同的 ICT 提供商在發(fā)現(xiàn)提供給聯(lián)邦機構的產品、服務及支持系統(tǒng)發(fā)生網絡安全事件時，必須立即向聯(lián)邦機構上報。有提案提出，為違反事件報告義務的行為配備處罰措施，提出被認為對美國國家安全至關重要的聯(lián)邦機構、聯(lián)邦承包商和組織在發(fā)現(xiàn)安全事件后應在 24 小時內向 CISA 報告。對于正在或已經違反該報告要求的，可視情況對該實體按日處以不超過上一年總收入 0.5% 的民事罰款。TSA 指令要求關鍵管道所有者和運營商指定一名 7*24 小時待命的網絡安全協(xié)調員，報告已發(fā)生和潛在的安全事件，并制定實施網絡安全應急和恢復計劃。

　　三是加強供應鏈管理。行政令認為聯(lián)邦政府所使用軟件的安全性對聯(lián)邦政府履行關鍵職能至關重要，并由此提出“關鍵軟件”概念，要求聯(lián)邦政府必須提高軟件供應鏈的安全性和完整性，優(yōu)先解決“關鍵軟件”問題。在 NIST 依據行政令要求發(fā)布的白皮書中，建議在行政令最初實施階段將“關鍵軟件”定義為側重于具有關鍵安全功能或在受到威脅時會造成重大危害的獨立、本地軟件，后續(xù)實施階段再涉及其他類別的軟件。有提案提出，為關鍵信息和通信技術建立并運營自愿的國家網絡安全認證和標簽計劃，創(chuàng)建標準化培訓項目，幫助關鍵基礎設施所有者和運營者更好地了解使用的技術和產品的安全性。

　　四是加強案件打擊。司法部提交的《關于勒索軟件和數字勒索調查和案件的指導意見》備忘錄提出必須強化和集中內部對勒索攻擊團伙的調查和起訴，將勒索攻擊、數字領域敲詐勒索，以及反病毒服務、僵尸網絡、加密貨幣等為勒索攻擊提供支撐的基礎設施均納入打擊范圍。此外，多部提案提議修訂《計算機欺詐和濫用法》，提出在第 1030 條“與計算機有關的欺詐及其相關活動”后新增一條“嚴重損害關鍵基礎設施計算機”，將“明知或企圖對關鍵基礎設施計算機運營造成實質性損害”的行為認定為犯罪，處以罰款和/或不超過 20 年的監(jiān)禁。也有提案提出，應研究允許私營實體在指定聯(lián)邦機構的監(jiān)管下，對非法網絡入侵采取反擊行動。

　　三、對我國關鍵信息基礎設施保護的啟示

　　《網絡安全法》確立關鍵信息基礎設施保護制度的基本框架，從預防、控制、打擊三個維度明確保護要求。《網絡安全法》施行以來，網信、公安以及行業(yè)主管監(jiān)管部門積極推進關鍵信息基礎設施識別認定、安全保護和監(jiān)督檢查等工作，并以國家標準切入選取部分重點行業(yè)和領域率先開展安全保護試點。2020 年，公安部發(fā)布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，明確由公安機關指導監(jiān)督關鍵信息基礎設施安全保護工作。近期公布的《黨委（黨組）網絡安全工作責任制實施辦法》，將關鍵信息基礎設施遭遇網絡攻擊的特定情形認定為嚴重危害網絡安全的行為，要求逐級倒查，追究責任。2021 年 8 月，歷時五年制定的《關鍵信息基礎設施安全保護條例》正式公布?！稐l例》是對前期我國在關鍵信息基礎設施保護方面嘗試與探索的經驗總結，通過優(yōu)化監(jiān)管體制、調整識別規(guī)則、強化安全要求，為后續(xù)貫徹落實關鍵信息基礎設施安全保護工作提供指引。

　　在此次輸油管道勒索攻擊事件中，美國在事件報告、供應鏈安全、案件打擊方面的處置及立法反思，對在《條例》實施后落實我國關鍵信息基礎設施保護制度具有參考價值。

　　1. 堅持積極防御，加強風險識別

　　勒索攻擊的非對稱性持續(xù)加劇。美國諸多提案強調事前風險識別和信息共享，提出將聯(lián)邦投資的重點從被動的災難恢復轉向風險驅動的主動投資。我國關鍵信息基礎設施保護應強化積極防御理念，充分理解和認識關鍵信息基礎設施的“關鍵性”。

　　《網絡安全法》和《條例》均強調建立監(jiān)測預警機制?！稐l例》進一步將開展本單位網絡安全監(jiān)測、檢測和風險評估的職責賦予專門安全管理機構。可借助運營者每年至少進行一次的網絡安全檢測和風險評估，及有關部門的網絡安全檢查檢測工作，加強風險識別，發(fā)揮網絡安全服務機構、第三方安全平臺、信息安全測試員在風險識別方面的作用，重視部署物聯(lián)網、人工智能等新技術新應用可能引入的風險及其在安全保障方面的價值，切實用好業(yè)已建立的應急演練、監(jiān)測預警和信息通報機制。

　　2. 加強應急處置，多部門形成合力

　　輸油管道勒索攻擊事件發(fā)生后，科洛尼爾公司、美國聯(lián)邦政府交通、能源、國土安全、FBI 等多部門共同參與處置，確保能源供應，消解事件影響。公安部《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》已明確要求公安機關、網絡安全行業(yè)主管部門等主體依法履行職責，形成網絡安全保護工作合力。

　　面對網絡安全事件，公安機關、保護工作部門、關鍵信息基礎設施運營者、可能涉及的網絡產品和服務提供者等主體應在各自職權和義務范圍內參與事件處置，協(xié)同聯(lián)動。保護工作部門應采取措施，維持關鍵信息基礎設施正常運轉，優(yōu)先保障能源、電信等領域安全運行，最小化事件影響。同時，發(fā)揮公安機關、CNCERT 在內的應急響應中心等部門在預警通報、追蹤溯源方面的能力?！毒W絡安全法》第五十七條、第五十八條在事件處置過程中的適用。運營者應切實承擔主體責任，落實網絡安全事件/威脅報告義務，用好現(xiàn)有事件分級及應急響應相關規(guī)定，將其轉化為自身網絡安全事件應對能力。

　　3. 重視數據安全，銜接分類分級

　　對數據進行加密、以披露數據相威脅是勒索攻擊的常見威脅手段。作為國家基礎性戰(zhàn)略性資源，數據安全已成為關鍵信息基礎設施保護的重要環(huán)節(jié)，網絡設施、信息系統(tǒng)等遭遇數據泄露可能帶來的危害程度也是影響關鍵信息基礎設施認定的依據之一。數據安全領域的基礎性立法《數據安全法》明確我國建立數據分類分級保護制度，在此基礎上提出“重要數據”“國家核心數據”概念，并通過第三十一條再次明確關鍵信息基礎設施運營者的重要數據出境安全管理要求。

　　《網絡安全法》的網絡安全等級保護制度、關鍵信息基礎設施保護制度與《數據安全法》的數據分級分類、重要數據、國家核心數據均是分等級保護、突出重點理念的體現(xiàn)。關鍵信息基礎設施領域需關注《數據安全法》下數據分類分級、重要數據識別與保護要求，以《條例》要求的專門安全管理機構建立健全個人信息和數據安全保護制度為切入落實運營者主體責任，將保障關鍵信息基礎設施安全作為保障數據安全的途徑之一，推動關鍵信息基礎設施保護中的數據安全從靜態(tài)安全走向動態(tài)安全。

　　4. 延伸安全視角，重視供應鏈安全

　　鑒于單次供應鏈攻擊所產生的級聯(lián)效應可能造成廣泛影響，供應鏈攻擊已成為網絡安全領域不容忽視的安全問題之一。太陽風（SolarWinds）供應鏈攻擊事件，以及美國近期發(fā)生的利用托管服務提供商 Kaseya 對其供應鏈上的客戶進行勒索攻擊的事件均是例證。美國在行政令和諸多提案中均強調加強供應鏈安全，幫助關鍵基礎設施運營者識別和管理供應鏈風險。

　　為全面保護關鍵信息基礎設施安全，應延伸安全視角，將供應鏈上各主體納入關鍵信息基礎設施保護范疇。完善制定網絡產品和服務管理辦法，落實網絡安全審查、云計算服務安全評估、網絡產品安全漏洞管理、國家強制性標準《網絡關鍵設備安全通用要求》等制度。優(yōu)先采購安全可信的網絡產品和服務，將網絡安全保障和抗風險能力作為考量因素之一；建立并維護供應商清單，厘清直接和間接供應商，加強對供應鏈人員及機構管理，明確技術支持和安全保密義務，要求及時報告網絡安全事件及風險，將供應商納入網絡安全事件應急響應機制。同時，加快推進關鍵信息基礎設施國產化替代，鼓勵開發(fā)核心技術和底層技術。

　　5. 強化法律責任，加強案件打擊

　　勒索攻擊的打擊正變得愈加艱難?？缇嘲l(fā)動攻擊，借助加密貨幣、加密通信等工具，“勒索軟件即服務”模式的盛行使勒索攻擊的門檻進一步降低，溯源追蹤難度加大。在輸油管道勒索攻擊事件中，美國通過執(zhí)法行動摧毀 DarkSide 服務器，成功追回支付的部分贖金，沉重打擊勒索攻擊犯罪團伙；同時，在立法提案中提出增加“嚴重損害關鍵基礎設施計算機”罪名。

　　《網絡安全法》實施以來，我國公安機關通過“凈網”等專項行動和日常監(jiān)督檢查持續(xù)加強網絡安全領域執(zhí)法，嚴厲打擊網絡攻擊、網絡黑灰產等違法犯罪活動，取得顯著成效?！稐l例》要求公安機關和國家安全機關加強打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。為推動關鍵信息基礎設施領域執(zhí)法進入新階段，我國需在罪名認定、打擊手段、跨境打擊等方面做好準備。

　　首先，考慮《刑法》現(xiàn)有罪名的覆蓋程度，研究增加關鍵信息基礎設施領域的專門罪名，考量現(xiàn)有計算機類型犯罪的法律責任與關鍵信息基礎設施網絡安全事件導致的危害后果之間的適配性。其次，我國現(xiàn)行法律沒有針對勒索軟件的專門性規(guī)定，但針對制作傳播計算機病毒、敲詐勒索、信息網絡技術支持和幫助等危害網絡安全方面的法律規(guī)定相當完善。靈活運用現(xiàn)有規(guī)定和“一案雙查”機制，強化行政執(zhí)法，斬斷勒索攻擊上下游利益鏈條。最后，《網絡安全法》和《條例》均明確我國有權處置來源于境內外的網絡安全風險和威脅；境外主體從事危害我國關鍵信息基礎設施活動，造成嚴重后果的，我國有權依法追究法律責任，并采取制裁措施。面對跨境勒索攻擊，應在推動國際合作，呼吁各國在管轄范圍內打擊勒索攻擊的同時，強化自身能力和潛在威懾力，用好對等制裁措施。