Министерство внутренней безопасности США (DHS) и Генеральный директорат Европейской комиссии по коммуникациям, сетям, контенту и технологиям (DG CONNECT) объявили на этой неделе о сравнении элементов отчетов о киберинцидентах. Усилия направлены на формирование требований к отчетности о киберинцидентах для США и Европейского союза (ЕС) в соответствии с Директивой NIS 2.
Совместные усилия США и ЕС укрепляют их приверженность защите своих граждан, критически важной инфраструктуры и предприятий от вредоносной киберактивности. Инициатива предполагает анализ сходств и различий между рекомендациями отчета DHS по гармонизации отчетности о киберинцидентах для федерального правительства и системой отчетности об инцидентах кибербезопасности, изложенной в Директиве NIS 2 ЕС.
Для информирования о продолжающемся внедрении CIRCA (Закон об отчетности о киберинцидентах для критической инфраструктуры) и Директивы NIS 2 соответствующими органами власти и для поддержки организаций, действующих в различных юрисдикциях, в их усилиях по реагированию на киберинциденты DHS и DG CONNECT публикуют настоящий совместный отчет, в котором определяются основные сходства и расхождения в рекомендациях Отчета DHS и Директивы NIS 2.
В совместном отчете, подготовленном DHS и DG CONNECT при поддержке их агентств по кибербезопасности – Агентства по кибербезопасности и инфраструктурной безопасности (CISA) и Европейского агентства по кибербезопасности (ENISA), предлагается всесторонняя оценка и фактологическое резюме рекомендаций Совета США по отчетности о киберинцидентах, отчета DHS за 2023 год о гармонизации отчетности о киберинцидентах для федерального правительства и Директивы ЕС 2022/2555 о мерах по обеспечению высоких стандартов кибербезопасности во всем Союзе ( Директива NIS 2). Этот анализ выявляет ключевые сходства и различия между руководящими принципами.
Выводы, содержащиеся в этом отчете, помогут обосновать подход DHS и DG CONNECT к оценке процессов отчетности о киберинцидентах в будущем. В отчете определены шесть основных областей для сравнительного анализа отчета DHS и Директивы ЕС, включая определения и пороговые значения отчетности; временные рамки, триггеры и типы отчетов о киберинцидентах; содержание отчетов о киберинцидентах; механизмы отчетности; агрегирование данных об инцидентах; и публичное раскрытие информации о киберинцидентах.
Инициатива также согласуется с Совместным заявлением 2024 года министра внутренней безопасности Алехандро Н. Майоркаса и европейского комиссара по внутреннему рынку Тьерри Бретона. Этот шаг знаменует собой начало процесса согласования трансатлантической отчетности о киберинцидентах, где это возможно. DHS и DG CONNECT приглашают отрасли как из США, так и из ЕС поделиться своим мнением и реакцией на сотрудничество и подход к оценке процессов отчетности о киберинцидентах.
“Киберинциденты не признают границ, и транснациональным компаниям часто приходится сообщать об инцидентах в различных юрисдикциях”, – сказал в заявлении для СМИ Роберт Сильверс, заместитель секретаря DHS по политике и председатель Совета по отчетности о киберинцидентах. “Мы стремимся гармонизировать правила отчетности об инцидентах внутри страны и с партнерами-единомышленниками, такими как Европейский союз, когда это возможно. Наш подход позволит государственным органам получать информацию, необходимую им для обеспечения киберзащиты, одновременно оптимизируя процесс для организаций-жертв. ”
“По ту сторону Атлантики мы стремимся работать вместе, чтобы сравнить соответствующие требования к отчетности, включая форму запрашиваемой информации, ища способы минимизировать административную нагрузку на отчитывающиеся организации”, – сказал Роберто Виола, генеральный директор ЕК по коммуникационным сетям, контенту и технологиям.
“В течение следующего года наши команды планируют продолжить наше сотрудничество на более техническом уровне, в том числе путем сопоставления таких элементов, как таксономия инцидентов кибербезопасности, шаблоны отчетов, а также содержание отчетов и форматы”, – по словам Иранги Кахангамы, помощника секретаря DHS по кибербезопасности, инфраструктуре, рискам и устойчивости. “Мы проведем углубленный анализ Типовой формы отчетности, разработанной DHS, в соответствии с NIS 2, требуемого содержания отчетов, чтобы определить, где есть совпадения и различия в типах запрашиваемых данных. Продолжая эти усилия, мы должны оставаться гибкими и адаптироваться к быстро меняющемуся ландшафту киберугроз, поскольку ничто не остается статичным в нашем цифровом мире надолго ”.
В отчете подробно указано, что отчет DHS и NIS2 используют разные формулировки для определения того, о каких киберинцидентах можно или можно было бы сообщить, или иным образом описывают пороговый уровень того, о чем можно или можно было бы сообщить. Директива NIS 2 требует от организаций сообщать о “значительных инцидентах”, в то время как в отчете DHS используется термин ‘подлежащие отчетности киберинциденты” для описания того, о чем можно сообщать. Несмотря на различия в определениях, в отчете DHS и определениях NIS2 есть несколько общих черт.
Например, оба определения инцидента включают критерии, связанные с триадой Конфиденциальность, целостность и доступность (CIA) или нарушение работы служб.
Когда дело доходит до триггеров и типов отчетов о киберинцидентах, отчеты о “раннем предупреждении” и “уведомлении об инцидентах”, определенные NIS2, можно сравнить с предлагаемыми в отчете DHS ‘первоначальными отчетами об инцидентах”, которые, как правило, рекомендуется запрашивать в течение 72 часов. Однако, согласно NIS 2, ‘раннее предупреждение’ должно быть сделано в течение 24 часов. Отдельно отметим, что промежуточный отчет, который требуется только в рамках NIS 2, когда CSIRT или компетентный орган запрашивает такой отчет, сопоставим с предлагаемыми отчетами DHS о “дополнительных” и “обновленных инцидентах”, чтобы сделать первоначальный отчет более полным или корректировать информацию, которая уже была представлена.
Содержание обоих документов представляется сопоставимым на тематическом уровне. В отчете DHS предлагаются рекомендации о том, как согласовать содержание отчетов о киберинцидентах и перейти к типовой форме отчетности или общим элементам данных, где это практически возможно. В то время как NIS 2 использует другую терминологию для типов отчетов, демонстрируя приблизительные параллели.
Различные механизмы отчетности используются руководящими учреждениями в США, ЕС и государствах-членах. Они могут включать веб-формы, веб-порталы, системы безопасной передачи файлов, формы, отправляемые по электронной почте, и т.д. Другие механизмы могут включать сообщения электронной почты, почтовую, факсимильную или телефонную связь для получения отчетов о киберинцидентах в повествовательной форме без какого-либо требуемого формата.
В то время как Отчет DHS рекомендует принять типовую форму отчетности или “общие элементы данных” для согласования требований к отчетности и снижения нагрузки на регулируемые организации, он также рекомендует оценить возможность разработки единого портала для получения отчетов об инцидентах. Директива NIS 2 рекомендует государствам-членам ЕС использовать технические средства, такие как единая точка входа, автоматизированные системы, онлайн-формы, удобные интерфейсы, шаблоны и специализированные платформы для использования юридическими лицами. Директива NIS 2 определяет, что Комиссия может принимать имплементирующие акты, дополнительно уточняющие тип информации, формат и процедуру представляемого уведомления.
Что касается публичного раскрытия информации о киберинцидентах, NIS 2 включает возможность для властей государств-членов ЕС или CSIRTs информировать общественность о значительном инциденте или требовать от организаций сделать это, когда осведомленность общественности необходима для предотвращения значительного инцидента или для борьбы с ним. В отчете DHS отмечается, что большинство существующих законов и нормативных актов, требующих публичного раскрытия определенных типов киберинцидентов, позволяют субъекту, на которого распространяется действие, откладывать раскрытие по запросу соответствующего сотрудника правоохранительных органов, который определил, что раскрытие может помешать уголовному расследованию или нанести ущерб общественной или национальной безопасности.
Таким образом, Отчет DHS рекомендует типовое положение, направленное на защиту текущих уголовных расследований или предотвращение раскрытия инцидентов, которые представляют значительный риск для общественной, национальной или критической инфраструктуры. В нем также конкретно указаны Генеральный прокурор, министр внутренней безопасности или другие соответствующие сотрудники правоохранительных органов в качестве должностных лиц, которые могут задержать публичное раскрытие информации при соответствующих обстоятельствах.
При сравнении Директивы NIS 2 и Отчета DHS было указано на несколько ключевых областей расхождения или общности. В определениях и пороговых значениях отчетности Директива и Отчет используют разные формулировки для определения сообщаемых киберинцидентов или иным образом описывают порог того, о чем можно сообщать, аналогично, для сроков, триггеров и типов отчетов о киберинцидентах указываются разные сроки и триггеры для уведомлений.
Тем не менее, в содержании отчетов о киберинцидентах отмечается, что содержание отчетов об инцидентах в обоих документах представляется сопоставимым на тематическом уровне. Аналогичным образом, механизмы отчетности отмечают, что документы направлены на уменьшение ненужных осложнений или технических трудностей, с которыми организации могут столкнуться при попытке подать отчет.
В случае агрегирования данных об инцидентах в нем излагаются (рекомендуемые или фактические) требования для включения агрегированных и анонимизированных данных об инцидентах в отчеты в соответствии с Директивой NIS 2, в то время как в отчете DHS признается, что такое включение может принести пользу, но включение аналогично агрегированных данных не было включено в выпущенные рекомендации. Наконец, публичное раскрытие информации о киберинцидентах детализирует сходства и различия в положениях каждого документа о публичном раскрытии определенных киберинцидентов.