在9月23日美國(guó)參議院國(guó)土安全與政府事務(wù)委員會(huì)討論安全威脅的聽(tīng)證會(huì)上，網(wǎng)絡(luò)安全高管們集體呼吁建立關(guān)基企業(yè)上報(bào)黑客事件制度，并對(duì)拒不遵守規(guī)定的企業(yè)處以罰款；

　　美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局長(zhǎng)Jen Easterly、聯(lián)邦政府首席信息安全官Chris DeRusha以及國(guó)家網(wǎng)絡(luò)總監(jiān)Chris Inglis均支持這一倡議。

　　9月23日，美國(guó)高級(jí)網(wǎng)絡(luò)官員敦促國(guó)會(huì)加大力度，要求一切關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商及時(shí)披露黑客事件，呼吁在違規(guī)事件發(fā)生后縮短報(bào)告時(shí)間窗口，并對(duì)拒不遵守規(guī)定的企業(yè)處以罰款。

　　安全專家們表示，此類授權(quán)能夠幫助聯(lián)邦政府機(jī)關(guān)與關(guān)鍵經(jīng)濟(jì)部門(mén)有效應(yīng)對(duì)安全事件。但也有部分企業(yè)和立法者對(duì)拜登政府提出的這種更嚴(yán)格的監(jiān)管與潛在處罰制度持謹(jǐn)慎態(tài)度。

　　美國(guó)網(wǎng)絡(luò)安全高官集體呼吁

　　制定關(guān)基企業(yè)上報(bào)黑客事件制度

　　網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局長(zhǎng)Jen Easterly上周四表示，黑客攻擊事件披露的速度越快，政府官員分析數(shù)據(jù)的時(shí)機(jī)就越早，并有助于發(fā)現(xiàn)其他潛在攻擊目標(biāo)。

　　Easterly女士在美國(guó)參議院國(guó)土安全與政府事務(wù)委員會(huì)的安全威脅聽(tīng)證會(huì)上表示，“為此，各方必須及時(shí)上報(bào)網(wǎng)絡(luò)安全事件，最好是在發(fā)現(xiàn)問(wèn)題的24個(gè)小時(shí)以內(nèi)?！?/p>

　　在此次聽(tīng)證會(huì)上，Easterly女士、聯(lián)邦政府首席信息安全官Chris DeRusha以及國(guó)家網(wǎng)絡(luò)總監(jiān)Chris Inglis還共同呼吁，對(duì)違反此類規(guī)定的企業(yè)施以經(jīng)濟(jì)處罰。

　　Inglis強(qiáng)調(diào)，“我們并不想讓受害者們承受額外壓力，但這些信息對(duì)于全社會(huì)的整體福祉確實(shí)至關(guān)重要?！?/p>

　　這些聲明表明，拜登政府認(rèn)為積極執(zhí)法是實(shí)現(xiàn)潛在黑客事件報(bào)告制度的關(guān)鍵。過(guò)去十年來(lái)，由于私營(yíng)企業(yè)的強(qiáng)烈抵制，國(guó)會(huì)一直沒(méi)能通過(guò)這方面的制度，只有各州結(jié)合自身情況要求企業(yè)披露涉及個(gè)人信息泄露的違規(guī)事件。金融服務(wù)等受監(jiān)管行業(yè)則制定了專門(mén)的行業(yè)規(guī)定，要求企業(yè)上報(bào)黑客事件。

　　時(shí)至今日，針對(duì)作為美國(guó)經(jīng)濟(jì)體系基石的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的黑客事件上報(bào)，仍然缺乏聯(lián)邦政府層面的報(bào)告標(biāo)準(zhǔn)。

　　最晚上報(bào)時(shí)間存爭(zhēng)議：

　　24小時(shí) vs 72小時(shí)

　　最近幾個(gè)月來(lái)，針對(duì)聯(lián)邦機(jī)構(gòu)與關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的一連串網(wǎng)絡(luò)攻擊為立法注入了新的動(dòng)力。部分企業(yè)及對(duì)商業(yè)部門(mén)較為關(guān)注的立法者開(kāi)始認(rèn)為，有必要制定相應(yīng)規(guī)則。游說(shuō)者們則推動(dòng)立法者放寬要求，包括將上報(bào)時(shí)間窗口寬延至72個(gè)小時(shí)，表示上報(bào)周期過(guò)短可能分散企業(yè)用于應(yīng)對(duì)攻擊事件的資源，并導(dǎo)致政府被大量未經(jīng)篩選的上報(bào)數(shù)據(jù)瞬間吞沒(méi)。

　　雖然形勢(shì)一片向好，但近幾個(gè)月來(lái)國(guó)會(huì)提案在事件報(bào)告的實(shí)際廣度與執(zhí)行方式等問(wèn)題上仍然存在分歧。

　　今年7月公布的一項(xiàng)參議院法案提案，為相關(guān)企業(yè)設(shè)立24個(gè)小時(shí)的上報(bào)窗口，并允許網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局對(duì)超出規(guī)定時(shí)間的企業(yè)處以每天相當(dāng)于上年收入0.5%的罰款。眾議院一項(xiàng)法案草案則計(jì)劃授予網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局對(duì)72小時(shí)仍未上報(bào)安全事件的企業(yè)進(jìn)行傳喚，但不施以罰款。一位助理人員表示，眾議院立法者也考慮過(guò)罰款問(wèn)題，不過(guò)最終認(rèn)為罰款只會(huì)令網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局與企業(yè)的關(guān)系進(jìn)一步惡化，反而不利于及時(shí)獲取威脅信息。

　　Easterly上周四還表示，在違規(guī)事件發(fā)生后的24小時(shí)內(nèi)披露信息，能幫助網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局快速跟進(jìn)。如果上報(bào)時(shí)間窗口過(guò)短很可能降低信息質(zhì)量。

　　她強(qiáng)調(diào)，“我們需要的是信號(hào)，而不是錯(cuò)誤的噪聲?！?/p>

　　就在這次聽(tīng)證會(huì)的前一天，美國(guó)政府剛剛發(fā)布能源與交通等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)企業(yè)如何加強(qiáng)網(wǎng)絡(luò)防御的最新指南。指南包含網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估、對(duì)威脅進(jìn)行持續(xù)監(jiān)控，以及對(duì)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的所有軟件與硬件進(jìn)行記錄備案。

　　美國(guó)官員表示，考慮到圍繞關(guān)鍵基礎(chǔ)設(shè)施出現(xiàn)的網(wǎng)絡(luò)攻擊正愈演愈烈，很可能需要出臺(tái)更多強(qiáng)制性法規(guī)予以管控。例如，今年5月黑客破壞東海岸最大的油氣管道運(yùn)營(yíng)商，6天之后運(yùn)輸安全管理局隨即公布新政策。官員們強(qiáng)調(diào)，新規(guī)定要求管道運(yùn)營(yíng)商在12小時(shí)內(nèi)上報(bào)黑客事件，否則可能面臨每天7000美元的罰款。

　　企業(yè)方則對(duì)巨額罰款持謹(jǐn)慎態(tài)度。

　　總部位于華盛頓的科技企業(yè)貿(mào)易協(xié)會(huì)信息技術(shù)行業(yè)委員會(huì)政策高級(jí)副總裁兼總法律顧問(wèn)John Miller表示，施加處罰可能導(dǎo)致企業(yè)只關(guān)注如何避免罰款，而無(wú)心思考如何制定網(wǎng)絡(luò)安全最佳實(shí)踐以建立合規(guī)性計(jì)劃。

　　Miller說(shuō)，“懲罰措施往往適得其反，甚至有礙于目前私營(yíng)部門(mén)與政府之間的伙伴關(guān)系?！?/p>