在過去兩年，美國國會(huì)的立法者們只將一份提到“勒索軟件”的法案簽署為法律。

　　與之形成鮮明對應(yīng)的是，勒索軟件攻擊的態(tài)勢沒有任何減弱的跡象。事實(shí)上，隨著美國各地有更多受害者因勒索軟件攻擊而承受重大損失，可以預(yù)見未來兩年之內(nèi)立法層面必然、也必須迎來一波實(shí)質(zhì)行動(dòng)。

　　中間偏左翼智庫Third Way的國家安全項(xiàng)目高級政策顧問Michael Garcia表示，“我認(rèn)為關(guān)于勒索軟件攻擊的立法將成為關(guān)注焦點(diǎn)。無論是否公開，幾乎每個(gè)國會(huì)選區(qū)都曾遭遇過某種勒索軟件的攻擊。這一點(diǎn)從受到攻擊影響的醫(yī)院及學(xué)校數(shù)量上，就已經(jīng)得到證明?！?/p>

　　在最近一起網(wǎng)絡(luò)事件中，密西西比州某公立學(xué)校透露稱，他們向勒索軟件攻擊方支付了30萬美元贖金。而另一家美國醫(yī)療企業(yè)全民健康服務(wù)（UHS）表示，受勒索事件影響，該公司損失達(dá)6700萬美元。

　　美國眾議院國土安全委員會(huì)已經(jīng)將勒索軟件放在網(wǎng)絡(luò)安全戰(zhàn)線的第二位。目前，該委員會(huì)正優(yōu)先考慮提出一項(xiàng)面向各州及地方政府的網(wǎng)絡(luò)安全補(bǔ)助金法案，此舉有望幫助各市政機(jī)構(gòu)更有力地對抗勒索軟件攻擊。除此之外，一位小組研討助理還提到，此項(xiàng)計(jì)劃“若能得到參議院的支持，未來還將進(jìn)一步針對勒索軟件制定抵御措施。”

　　紐約州共和黨眾議員John Katko表示，他希望能夠在兩黨之間取得共識，努力促進(jìn)國土安全部下轄的網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）參與到這場對抗勒索軟件的斗爭當(dāng)中。

　　他解釋道，“保證CISA擁有打擊勒索軟件攻擊所需要的資源、人力與權(quán)利，將直接決定這場對抗勒索、乃至抵御其他網(wǎng)絡(luò)攻擊之戰(zhàn)的結(jié)局?！?/p>

　　在參議院方面，國土安全委員會(huì)主席Gary Peters從去年開始就在籌劃重新提出三項(xiàng)法案，希望為各州及地方政府、小型企業(yè)以及K-12階段學(xué)校提供網(wǎng)絡(luò)攻擊方面的一般性協(xié)助。委員會(huì)的一位助理還表示，這些法案亦有望協(xié)助抵御勒索軟件攻擊。

　　而領(lǐng)導(dǎo)國土安全新興威脅與支出監(jiān)督小組委員會(huì)的參議員Maggie Hassan也提出了立法及其他聽證計(jì)劃，希望為拜登政府出臺的勒索軟件抵御政策提供配合。

　　來自新罕布什爾州的民主黨人Hassan認(rèn)為，“這些努力將有助于全面預(yù)防并緩解網(wǎng)絡(luò)威脅帶來的影響，包括在疫情期間針對當(dāng)?shù)貙W(xué)校、企業(yè)及醫(yī)院發(fā)動(dòng)的高破壞性勒索軟件攻擊?！?/p>

　　已達(dá)成目標(biāo)，與未達(dá)成目標(biāo)

　　在上一屆國會(huì)中，共有11項(xiàng)法案提到了勒索軟件。

　　最終唯一得到通過的，是體量龐大的年度國防政策法案，其中包括Hassan提出的在各州設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)員職務(wù)的立法建議。根據(jù)該法案，這些協(xié)調(diào)員的工作內(nèi)容包括“支持運(yùn)營培訓(xùn)、演習(xí)與規(guī)劃的連續(xù)性，加快機(jī)構(gòu)從網(wǎng)絡(luò)安全事件（包括勒索軟件攻擊）當(dāng)中的恢復(fù)速度。”

　　其他幾份未能通過的提案包括：一項(xiàng)法案要求司法部整理一份報(bào)告，評估勒索軟件及其他類型的網(wǎng)絡(luò)欺詐活動(dòng)給美國公民造成的經(jīng)濟(jì)損失。還有一些提案在文本的“調(diào)查結(jié)果”部分提到了勒索軟件威脅，用于解釋另一項(xiàng)立法提議的動(dòng)機(jī)。

　　Garcia表示，在某種程度上，國會(huì)方面似乎還沒搞清楚該如何針對勒索軟件進(jìn)行立法。就目前來看，有望在國會(huì)上通過的不少網(wǎng)絡(luò)安全法案都或多或少涉及勒索軟件，但只將其視為常規(guī)威脅類型之一。

　　一些州立法機(jī)構(gòu)已經(jīng)為國會(huì)的勒索軟件應(yīng)對路線指出了可行方向，例如制定專門處理勒索軟件攻擊的刑事處罰法條，或者禁止某些特定類別的受害者向勒索攻擊方支付贖金等。

　　而在眾議院國土安全小組的專項(xiàng)預(yù)算等提案中，體現(xiàn)的則是更為傳統(tǒng)的處理思路——即由國會(huì)回應(yīng)各州及地方一級政府的申請，將勒索軟件威脅的應(yīng)對機(jī)制納入更為廣泛的網(wǎng)絡(luò)威脅解決方案當(dāng)中。

　　亞特蘭大市長Keisha Bottoms曾在2019年關(guān)于勒索軟件的聽證會(huì)上表示，該市一年之前親身經(jīng)歷了一輪勒索軟件攻擊，并造成數(shù)百萬美元的損失。如果能夠獲得聯(lián)邦政府的額外撥款，“不僅可以加快響應(yīng)與恢復(fù)速度，同時(shí)也能降低被迫支付贖金的幾率，最終削弱攻擊者將地方政府設(shè)為目標(biāo)的意愿?！?/p>

　　全國縣級協(xié)會(huì)首席信息官Rita Reynolds表示，該協(xié)會(huì)正在向國會(huì)方面施壓，要求向各縣級政府提供更直接、更靈活的網(wǎng)絡(luò)與IT資金，而不再將資金單純交由州一級政府管理。該協(xié)會(huì)及其他代表地方政府的全國性組織也將在未來幾個(gè)月內(nèi)發(fā)布一系列其他提案，向國會(huì)申請建立起統(tǒng)一的網(wǎng)絡(luò)事件應(yīng)對策略。

　　由國會(huì)建立的網(wǎng)絡(luò)空間日光浴委員會(huì)之前曾就網(wǎng)絡(luò)犯罪問題提出一系列建議，這類提議同樣有可能在本屆國會(huì)上再次亮相。例如，該委員會(huì)曾于2018年敦促立法者通過法案中的特定條款，要求向檢察官提供更多工具以打擊僵尸網(wǎng)絡(luò)（被用于部署勒索軟件）。

　　美國最大的商業(yè)游說團(tuán)體美國商會(huì)也有意推動(dòng)國會(huì)通過相關(guān)提案。

　　美國商會(huì)網(wǎng)絡(luò)安全政策兼網(wǎng)絡(luò)、智能、供應(yīng)鏈安全部門副總裁Matthew Eggers表示，“我們同意網(wǎng)絡(luò)空間日光浴委員會(huì)發(fā)出的呼吁，即應(yīng)該主動(dòng)出擊對抗網(wǎng)絡(luò)犯罪與勒索軟件攻擊，阻遏其利用他人及組織的隱私獲取非法利益。我們將繼續(xù)與各委員會(huì)、立法者及其他政策制定方開展合作，探討如何審慎地向勒索軟件攻擊及相關(guān)網(wǎng)絡(luò)犯罪活動(dòng)發(fā)起反擊。”

　　當(dāng)然，國會(huì)可能還需要完成一系列準(zhǔn)備，才能真正加大對勒索軟件的管控力度。

　　Garcia表示，今年以來，立法者們一直忙于處理其他事務(wù)，例如彈劾前任總統(tǒng)特朗普以及審計(jì)拜登政府的人員提名清單。此外，SolarWinds大規(guī)模違規(guī)事件也占據(jù)了議員們在網(wǎng)絡(luò)安全方面的大部分注意力。

　　但與Garcia一樣，Reynolds也對國會(huì)就勒索軟件攻擊采取行動(dòng)的前景抱樂觀態(tài)度。

　　Reynolds總結(jié)道，“我一直保持樂觀，甚至對前景感到更加樂觀。新冠疫情的爆發(fā)相當(dāng)于催化劑，與各類重大安全違規(guī)事件耦合起來造成了巨大破壞。因此我認(rèn)為當(dāng)下正是采取行動(dòng)，以統(tǒng)一且可持續(xù)的方式打擊勒索軟件的好時(shí)機(jī)?！?/p>