图:伦敦的夜空/NASA

前情回顾·英国网络威胁态势

安全内参9月13日消息,英国《信息自由法》披露的数据显示,2023年上半年,英国运营关键信息技术基础设施服务的组织,向政府报告网络攻击严重干扰其运营的事件数量,已经超过了以往任何一年的报告总数。

尽管攻击总数似乎较低,只有13起影响到运营关键技术服务的组织(如国家互联网节点或回程运营商)的攻击,但这个数字较2022年和2021年分别记录的4次有显著增加。

NIS指令规定了事件报告要求

从发电厂到运输和医疗领域以及信息技术基础设施公司,英国各地的重要服务提供商都根据英国《网络和信息系统指令》(NIS指令)要求,向各行业主管机构报告干扰性网络事件。相关规定还为这些重要服务提供商的计算机网络设立了最低安全标准。

只有网络攻击造成的干扰满足某些门槛才会被报告。以配电网络的网络和信息系统事件为例,报告门槛是导致至少50000个客户发生计划外供电中断,且持续时间超过三分钟。以影响国家重要DNS解析器的事件为例,报告门槛是导致服务带宽在15分钟或更长时间内缩减超过25%。

事件报告数量增多不代表威胁形势更严峻

据了解,两个特定行业管理机构在今年上半年收到的报告比以往任何一年都要多。它们分别是从数字基础设施提供商那里接收报告的英国通信管理局(Ofcom),和监管云计算服务等数字服务提供商的英国信息专员办公室(ICO)。

经联系,其他管理机构没有提供自从2018年《网络和信息系统指令》生效以来的年度报告细分数据。因此,尚不清楚2023年上半年创记录数量的网络攻击事件是否涉及通信、数字服务领域之外的行业。

有私营部门专家表示,报告数量增加的原因更可能是服务提供商更清晰地意识到了他们的报告职责,加大了对检测能力的投资,而不是复杂威胁行为者发起了更多敌对活动。

一位政府发言人表示:“随着监管机构和受监管机构对报告要求有更清晰的理解,我们预计报告事件将继续增加。没有证据表明目前的增加与敌对活动增多有任何关联,任何这样的看法都毫无依据。”

NIS事件报告暂无法准确量化行业威胁分析

但数据还显示,大量受监管组织提交的报告最终没有记录为NIS事件报告,这是因为指令对于网络攻击是否需要报告设置的门槛尚待优化。

这些门槛主要基于网络安全事件对基本服务提供的影响程度。比如,网络攻击是否干扰了发电厂的能源生产,是否阻止了铁路公司开行一定数量的列车。

然而,这些门槛没有衡量攻击者对计算机网络的访问深度,也没有衡量威胁行为者是否有能力干扰任何基本服务。所以,政府管理机构无法清晰地看出他们负责的行业面临的网络攻击风险有多大。

交通、数字服务、通信等行业事件报告数量居前

2020年,NIS指令修订后,ICO开始接收数字服务提供商的报告。该部门表示,截至目前已收到了10份有关服务干扰的报告(2020年1份,2021年2份,2022年2份,2023年5份),以及9份未达到门槛的报告(2020年1份,2021年1份,2022年1份,2023年1份)。

Ofcom在2022年记录了一起NIS事件,但该机构累积接收了7份未达到门槛的报告(2020年3份,2021年1份,2023年3份)。

卫生与社会保健部表示,自2018年以来,已收到2份网络和信息系统事件的报告,而交通部则透露,自法规生效以来,已收到关于25起事件的报告。但这两个部门没有说明这些报告的具体提交年份。

交通部表示,没有收到任何未达到门槛的报告。这与2021年天空新闻所报道的内容相矛盾,当时该部门表示已收到9份未达到门槛的报告。外媒The Record询问为何二者不一致,该部门未能提供解释。

能源安全与零排放部表示,自2018年法规生效以来,未收到网络和信息系统事件的报告,但已收到3份未达到报告门槛的报告。

政府发言人表示:“我们致力于保护英国关键服务免受网络威胁,强化事件报告是《网络和信息系统法规》的关键要素。去年,作为对公众咨询的回应,我们规划了扩大报告事件范围的详细计划,不再局限于影响基本或数字服务交付的事件。”

去年11月,英国政府发表题为“更新网络法律以增强英国对在线攻击的抵御力”的新闻稿,承诺将在“议会时间允许的情况下”更新法规。然而,政府尚未宣布任何新的法律。政府预计,2024年11月7日大选之前,标志议会开幕的国王演讲中将概述最终的立法议程。

参考资料:https://therecord.media/uk-critical-it-infrastructure-attacks-reports-to-nis

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。