英国新网络安全法案剑指勒索软件团伙与国家支持的黑客

经过多年延迟，英国政府最终推出了具有里程碑意义的网络安全立法，这可能重塑英国组织防御数字攻击的方式。《网络安全与韧性法案》出台之际，网络攻击每年给英国经济造成约147亿英镑损失——约占GDP的0.5%。

该法案显著扩大了需要满足网络安全标准的组织类型，包括先前未受监管的关键行业（如医疗保健和供水设施）供应商。它还涵盖管理服务提供商——这些IT公司通常为多个组织的系统提供基本数字服务。

该立法将赋予技术部长新权力，当国家安全受到威胁时，可指示公司采取特定安全行动。

Fortra首席市场策略师Josh Davies表示：“对国家安全的关注提醒我们，现代战争包括数字领域。近期的高调数据泄露事件和不断升级的地缘政治紧张局势正在推动这项立法。”

Davies解释说：“关键基础设施一直是战争目标，无论是中世纪围城期间焚烧风车和粮仓，还是俄罗斯导弹袭击乌克兰能源基础设施。针对关键基础设施的战略利益没有改变，但方法已经改变。”

敌对国现在可以维持Davies所说的“对关键基础设施的隐秘持续访问”，他将其描述为“现代的‘相互保证毁灭’”。

Davies令人不寒而栗地说：“当你可以远程引爆核电站，然后将其定位为事故，并因不确定的归因和合理的推诿而避免政治或法律谴责时，为什么要发射核弹呢？”

近期的高调网络事件凸显了紧迫性。Synnovis实验室网络攻击导致至少一名患者死亡，而黑客还严重袭击了制造业巨头捷豹路虎。

此类攻击往往成功，因为组织运行着具有已知安全漏洞的老化系统，或者未能采取足够措施使黑客更难渗透。

英国政府法案与禁止关键基础设施和公共机构支付赎金的计划同步进行——试图使这些目标对恶意黑客的吸引力降低。

Davies解释说：“该法案的部分好处在于视觉效果。这些措施的间接结果是告诉对手，这些组织不是容易攻击的目标，对经济动机的威胁行为者来说不会有利可图。”

Davies继续说道，这直接解决了医院和基本服务如何“通过遗留系统、技术债务和第三方服务提供商受到损害，并在离线时由于高压力和对生活质量的直接影响而容易被勒索”。

根据Davies的说法，政府的信息很明确：“用于勒索付款的资金将不会用于防御，使得机会主义对手更难入侵然后将入侵货币化。”

未能达到新标准的公司面临巨额罚款。虽然英国企业的实施成本估计为5.9亿英镑，但与网络攻击每年造成的数十亿损失相比相形见绌。

尽管有这些雄心，问题仍然存在。该法案要到2027年才会强制执行，给予组织两年的宽限期，鉴于当前感知的威胁水平，这似乎很慷慨。确保监管机构拥有足够的资源和专业知识在数千个组织中执行这些新规则也是一项挑战。