美议员力推立法：24小时内报告网络入侵事件

当地时间2021年6月17日，CNN报道，在一系列威胁国家经济和国家安全的勒索软件攻击之后，美国立法者正在准备立法，要求大量公共和私人实体在网络安全入侵出现24小时内向政府报告。该法案草案由弗吉尼亚州民主党参议员华纳(Mark Warner)、佛罗里达州的共和党人马尔科·卢比奥(Marco Rubio)和缅因州的苏珊·柯林斯(Susan Collins)共同发起，要求向国土安全部的网络安全和基础设施局(Cybersecurity and Infrastructure Agency)报告网络入侵事件。CISA将与国家情报总监、管理和预算办公室(Office of Management and Budget)、国防部(Defense Department)和联邦首席信息官(Federal Chief Information Officer)合作，制定规则，规定谁必须准确报告何种类型的入侵。

这一倡议反映了国会再次努力通过期待已久的有关网络安全入侵报告的联邦法规。目前没有统一的联邦标准，批评人士多年来一直认为，这是保护美国免受网络攻击的障碍。华纳是参议院情报委员会(Senate Intelligence Committee)主席，卢比奥是该委员会的共和党高层，柯林斯至少从2012年起就一直在推动制定全面的联邦网络安全立法。这是最早应对一系列攻击的法案之一，这些攻击始于太阳风(SolarWinds)的入侵，并继续通过微软Exchange遭黑客攻击，以及殖民管道(Colonial Pipeline)和肉类供应商JBS的勒索软件事件。无论在众议院还是参议院，这都不会是最后一次。

几个月来，华纳一直在推动这个想法。在今年2月华纳委员会举行的听证会上，这位弗吉尼亚州民主党人、其他参议员以及太阳风(SolarWinds)、微软(Microsoft)和火眼(FireEye)的证人讨论了华纳一直以来的想法。人们担心的是，如果FireEye没有主动透露自己是太阳风供应链黑客袭击的受害者，损失可能会更严重。太阳风的供应链黑客袭击让9个联邦机构和许多科技公司受到了影响。

6月6日在全国广播公司(NBC)的《会见媒体》(Meet the Press)节目中，华纳表示:“我们应该落实，我们已经通过两党立法来做到这一点，要求当公司受到攻击时，向政府报告。”现在没有任何要求。”

美国有线电视新闻网(CNN)获得的这份在华盛顿流传的法案，将适用于美国政府机构、联邦承包商以及关键基础设施所有者和运营商，比如制造业、能源和金融服务行业的企业。行业代表和行业团体已经收到了讨论草案的副本。根据讨论草案，这些实体将被要求向美国国土安全部(Department of Homeland Security)的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)提交遭网络入侵报告。该法案将指示该机构建立一个接收报告的安全机制，对提交网络入侵通知报告的公司的责任保护。网络安全专家表示，这对确保企业不怕披露遭攻击行为，并帮助美国官员加强国家的网络安全至关重要。一些行业已经有了更严格的报告要求。例如，美国运输安全管理局(Transportation Security Administration)最近对美国管道公司实施了12小时的违规报告要求。

根据法案草案，这些要求将优先于24小时的最后期限。该法案草案要求国土安全部制定与实施该法律相关的定义和要求，并要求国土安全部及其网络安全机构就这些通知向国会提交年度报告。

美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)一名高级官员本周呼吁向该机构报告更多网络安全事件，称这将有助于美国政府保护全国关键行业免受网络攻击。“我们需要了解国家网络安全风险的能力，”该机构网络安全执行助理主任埃里克·戈尔茨坦(Eric Goldstein)6月15在众议院国土安全委员会(House Homeland Security Committee)的听证会上说。“我们需要了解敌人是在哪里侵入这个国家的网络。我们需要了解他们入侵时使用的技术。我们需要了解他们正在做什么或试图做什么。我们得到的这类信息越多，我们就能保护其他人。”戈尔茨坦对议员们说:“作为一个国家，我们越能通过其他途径推动网络安全事件向CISA报告，就像TSA最近按照他们的指示所做的那样，当然也像你们的几位同事所建议的那样，这将有助于推动这一变化。”

立法草案要求，除了入侵报告外，实体还必须提供定期更新。根据这些规则，最初的报告和更新至少都必须包含一系列信息，比如受到影响的网络、黑客使用的战术以及受害者的联系信息。不遵守该法律的联邦承包商将面临最高的惩罚，包括不再有资格获得未来的合同。关键的基础设施所有者或网络事故响应公司如果不遵守规定或超过24小时，就可能面临最高相当于其上一年总收入0.5%的罚款。

鉴于该法案的重点是CISA，很可能会有一个不是华纳的委员会来审查该法案，即国土安全与政府事务委员会。熟悉该委员会计划的消息人士说，该委员会的共和党领袖、俄亥俄州的罗布·波特曼(Rob Portman)一直在制定自己的事件报告立法。

众议院也有几个委员会在研究这个想法。网络空间日光浴室委员会也一直在研究这个问题。拜登(Joe Biden)总统的行政命令将要求联邦承包商报告事故，美国运输安全管理局(Transportation Security Administration)也对管道运营商发布了严格的报告规则。

每个州都有自己的网络违规报告法，但它们主要侧重于公开披露涉及敏感个人信息的违规行为。年复一年，美国国会都未能制定一部全国性的网络入侵报告法。

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。