當(dāng)?shù)貢r間2021年6月17日，CNN報道，在一系列威脅國家經(jīng)濟(jì)和國家安全的勒索軟件攻擊之后，美國立法者正在準(zhǔn)備立法，要求大量公共和私人實(shí)體在網(wǎng)絡(luò)安全入侵出現(xiàn)24小時內(nèi)向政府報告。該法案草案由弗吉尼亞州民主黨參議員華納（Mark Warner）、佛羅里達(dá)州的共和黨人馬爾科·盧比奧（Marco Rubio）和緬因州的蘇珊·柯林斯（Susan Collins）共同發(fā)起，要求向國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局（Cybersecurity and Infrastructure Agency）報告網(wǎng)絡(luò)入侵事件。CISA將與國家情報總監(jiān)、管理和預(yù)算辦公室（Office of Management and Budget）、國防部（Defense Department）和聯(lián)邦首席信息官（Federal Chief Information Officer）合作，制定規(guī)則，規(guī)定誰必須準(zhǔn)確報告何種類型的入侵。

　　這一倡議反映了國會再次努力通過期待已久的有關(guān)網(wǎng)絡(luò)安全入侵報告的聯(lián)邦法規(guī)。目前沒有統(tǒng)一的聯(lián)邦標(biāo)準(zhǔn)，批評人士多年來一直認(rèn)為，這是保護(hù)美國免受網(wǎng)絡(luò)攻擊的障礙。華納是參議院情報委員會（Senate Intelligence Committee）主席，盧比奧是該委員會的共和黨高層，柯林斯至少從2012年起就一直在推動制定全面的聯(lián)邦網(wǎng)絡(luò)安全立法。這是最早應(yīng)對一系列攻擊的法案之一，這些攻擊始于太陽風(fēng)（SolarWinds）的入侵，并繼續(xù)通過微軟Exchange遭黑客攻擊，以及殖民管道（Colonial Pipeline）和肉類供應(yīng)商JBS的勒索軟件事件。無論在眾議院還是參議院，這都不會是最后一次。

　　幾個月來，華納一直在推動這個想法。在今年2月華納委員會舉行的聽證會上，這位弗吉尼亞州民主黨人、其他參議員以及太陽風(fēng)（SolarWinds）、微軟（Microsoft）和火眼（FireEye）的證人討論了華納一直以來的想法。人們擔(dān)心的是，如果FireEye沒有主動透露自己是太陽風(fēng)供應(yīng)鏈黑客襲擊的受害者，損失可能會更嚴(yán)重。太陽風(fēng)的供應(yīng)鏈黑客襲擊讓9個聯(lián)邦機(jī)構(gòu)和許多科技公司受到了影響。

　　6月6日在全國廣播公司（NBC）的《會見媒體》（Meet the Press）節(jié)目中，華納表示：“我們應(yīng)該落實(shí)，我們已經(jīng)通過兩黨立法來做到這一點(diǎn)，要求當(dāng)公司受到攻擊時，向政府報告?！爆F(xiàn)在沒有任何要求。“

　　美國有線電視新聞網(wǎng)（CNN）獲得的這份在華盛頓流傳的法案，將適用于美國政府機(jī)構(gòu)、聯(lián)邦承包商以及關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商，比如制造業(yè)、能源和金融服務(wù)行業(yè)的企業(yè)。行業(yè)代表和行業(yè)團(tuán)體已經(jīng)收到了討論草案的副本。根據(jù)討論草案，這些實(shí)體將被要求向美國國土安全部（Department of Homeland Security）的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）提交遭網(wǎng)絡(luò)入侵報告。該法案將指示該機(jī)構(gòu)建立一個接收報告的安全機(jī)制，對提交網(wǎng)絡(luò)入侵通知報告的公司的責(zé)任保護(hù)。網(wǎng)絡(luò)安全專家表示，這對確保企業(yè)不怕披露遭攻擊行為，并幫助美國官員加強(qiáng)國家的網(wǎng)絡(luò)安全至關(guān)重要。一些行業(yè)已經(jīng)有了更嚴(yán)格的報告要求。例如，美國運(yùn)輸安全管理局（Transportation Security Administration）最近對美國管道公司實(shí)施了12小時的違規(guī)報告要求。

　　根據(jù)法案草案，這些要求將優(yōu)先于24小時的最后期限。該法案草案要求國土安全部制定與實(shí)施該法律相關(guān)的定義和要求，并要求國土安全部及其網(wǎng)絡(luò)安全機(jī)構(gòu)就這些通知向國會提交年度報告。

　　美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）一名高級官員本周呼吁向該機(jī)構(gòu)報告更多網(wǎng)絡(luò)安全事件，稱這將有助于美國政府保護(hù)全國關(guān)鍵行業(yè)免受網(wǎng)絡(luò)攻擊?！蔽覀冃枰私鈬揖W(wǎng)絡(luò)安全風(fēng)險的能力，“該機(jī)構(gòu)網(wǎng)絡(luò)安全執(zhí)行助理主任埃里克·戈?duì)柎奶梗‥ric Goldstein）6月15在眾議院國土安全委員會（House Homeland Security Committee）的聽證會上說?！蔽覀冃枰私鈹橙耸窃谀睦锴秩脒@個國家的網(wǎng)絡(luò)。我們需要了解他們?nèi)肭謺r使用的技術(shù)。我們需要了解他們正在做什么或試圖做什么。我們得到的這類信息越多，我們就能保護(hù)其他人?！案?duì)柎奶箤ψh員們說：”作為一個國家，我們越能通過其他途徑推動網(wǎng)絡(luò)安全事件向CISA報告，就像TSA最近按照他們的指示所做的那樣，當(dāng)然也像你們的幾位同事所建議的那樣，這將有助于推動這一變化?！?/p>

　　立法草案要求，除了入侵報告外，實(shí)體還必須提供定期更新。根據(jù)這些規(guī)則，最初的報告和更新至少都必須包含一系列信息，比如受到影響的網(wǎng)絡(luò)、黑客使用的戰(zhàn)術(shù)以及受害者的聯(lián)系信息。不遵守該法律的聯(lián)邦承包商將面臨最高的懲罰，包括不再有資格獲得未來的合同。關(guān)鍵的基礎(chǔ)設(shè)施所有者或網(wǎng)絡(luò)事故響應(yīng)公司如果不遵守規(guī)定或超過24小時，就可能面臨最高相當(dāng)于其上一年總收入0.5%的罰款。

　　鑒于該法案的重點(diǎn)是CISA，很可能會有一個不是華納的委員會來審查該法案，即國土安全與政府事務(wù)委員會。熟悉該委員會計(jì)劃的消息人士說，該委員會的共和黨領(lǐng)袖、俄亥俄州的羅布·波特曼（Rob Portman）一直在制定自己的事件報告立法。

　　眾議院也有幾個委員會在研究這個想法。網(wǎng)絡(luò)空間日光浴室委員會也一直在研究這個問題。拜登（Joe Biden）總統(tǒng)的行政命令將要求聯(lián)邦承包商報告事故，美國運(yùn)輸安全管理局（Transportation Security Administration）也對管道運(yùn)營商發(fā)布了嚴(yán)格的報告規(guī)則。

　　每個州都有自己的網(wǎng)絡(luò)違規(guī)報告法，但它們主要側(cè)重于公開披露涉及敏感個人信息的違規(guī)行為。年復(fù)一年，美國國會都未能制定一部全國性的網(wǎng)絡(luò)入侵報告法。