34 views

英国考虑惩罚Lax网络安全的基本服务运营商

By | 2019年1月12日

 

在2017年5月高调的WannaCry勒索软件攻击瘫痪其国家健康服务之后,英国(英国)政府热衷于防止此类灾难性网络事件再次发生。而且,就好像内部动力还不够,现在欧盟面临着阻止此类事件的压力; 即,英国必须遵守将于2018年5月生效的新的欧盟网络和信息系统(NIS)指令。

最大的问题是,究竟什么构成了适当的网络安全保护?如果组织因为处于分布式拒绝服务(DDoS)攻击而无法提供服务 ,是否会受到罚款?根据这项新指令,答案是肯定的。

类似于旨在保护欧盟居民个人数据的欧盟通用数据保护条例,NIS立法旨在保护欧盟居民的健康和安全。就其本身而言,英国正在考虑对关键基础设施组织(医疗设施,电力,水,能源,数字和运输公用事业)征收罚款,这些组织的安全标准松懈导致服务中断。提供关键基础设施的英国组织如果由于网络安全标准松懈而遭受服务损失,可能很快将面临高达1700万英镑的罚款,占全球营业额的4%。ZDNet报道:

“根据NIS指令,罚款将是最后的手段 – 并且它们不适用于已经实施适当的网络安全保护并且仍然因网络攻击而遭受系统中断的组织。在这个阶段,政府并不清楚究竟是什么构成采取适当的预防措施。“

英国政府的数字,文化,媒体和体育部正在带头进行磋商,旨在迫使公司采用系统和政策来实现以下目标:

防止网络攻击;
检测攻击;
开展安全监测;
提高员工意识;
立即报告事件;
确保系统已准备好进行恢复。
关键基础设施组织将有义务主动缓解DDoS以确保服务可用性,或面临巨额罚款(如果发生导致服务丢失的攻击)。

DDoS防御是至关重要的
在有关什么代表充分的网络安全的坚定指导之前,英国政府可能难以执行立法。到目前为止,还没有任何英国立法被刻在石头上; 政府正在就该提案寻求意见来自行业成员,基础设施提供商,监管机构和其他相关方。如果立法得以实施,组织将面临一些问题,例如哪种类型的网络威胁对关键基础设施提供商构成最大风险?组织面临多种威胁,并且始终难以抵御所有威胁。无论如何,有一件事是肯定的; DDoS缓解是一个重要因素,因为1)容量DDoS攻击变得越来越普遍,并且可以有效地削弱网络; 2)低阈值,亚饱和DDoS攻击经常掩盖更多手术安全漏洞,例如恶意软件和勒索软件攻击。因此,很可能同时发生个人数据泄露和网络中断。

DDoS攻击可能来自孤狼或民族国家,欧洲的一些政府机构已经成为DDoS攻击的牺牲品。在考虑部署最佳网络安全工具和防御层时,关键基础架构组织应将自动DDoS保护置于优先级列表的最高位置。

发表评论

电子邮件地址不会被公开。 必填项已用*标注