當(dāng)?shù)貢r(shí)間11月4日，美國(guó)民主、共和兩黨參議員組成的小組正準(zhǔn)備在即將到來(lái)的年度國(guó)防授權(quán)法案（NDAA）中加入一項(xiàng)條款，該條款將要求某些關(guān)鍵基礎(chǔ)設(shè)施組織在72小時(shí)內(nèi)向政府報(bào)告重大網(wǎng)絡(luò)事件。當(dāng)天晚間宣布的這項(xiàng)修正案還將允許關(guān)鍵基礎(chǔ)設(shè)施組織、非營(yíng)利組織、州和地方政府以及某些企業(yè)在24小時(shí)內(nèi)報(bào)告因勒索軟件攻擊而向黑客支付的款項(xiàng)。在經(jīng)歷了一年不斷升級(jí)的網(wǎng)絡(luò)攻擊后，有關(guān)網(wǎng)絡(luò)事件和勒索支付贖金都將上報(bào)給網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA），以使監(jiān)管機(jī)構(gòu)對(duì)國(guó)家網(wǎng)絡(luò)安全狀況有更大的透明度。

　　修正案是兩黨妥協(xié)的結(jié)果

　　該修正案由參議院國(guó)土安全和政府事務(wù)委員會(huì)主席加里·彼得斯（密歇根州民主黨）、高級(jí)成員羅布·波特曼（俄亥俄州共和黨）、參議院情報(bào)委員會(huì)主席馬克·華納（弗吉尼亞州民主黨）和參議員蘇珊·柯林斯（緬因州共和黨）共同發(fā)起。

　　修正案也是兩位參議員談判的結(jié)果：彼得斯和波特曼在9月提出了一項(xiàng)立法，提出了72小時(shí)的時(shí)間表，而華納、柯林斯和參議院情報(bào)委員會(huì)（Senate Intelligence Committee）除其他三名成員外，其他所有成員在7月提出了一項(xiàng)單獨(dú)的法案，列出了24小時(shí)的時(shí)間表。

　　彼得斯在一份聲明中說(shuō)：“網(wǎng)絡(luò)攻擊和勒索軟件攻擊是嚴(yán)重的國(guó)家安全威脅，影響了從能源部門(mén)到聯(lián)邦政府和美國(guó)人自己的敏感個(gè)人信息的方方面面?！?/p>

　　行業(yè)組織反對(duì)24小時(shí)報(bào)告的要求，認(rèn)為這沒(méi)有給他們足夠的時(shí)間來(lái)評(píng)估事故，并限制報(bào)告較少的重大事故。

　　彼得斯認(rèn)為，該修正案將采取重大步驟加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，確保CISA站在國(guó)家應(yīng)對(duì)嚴(yán)重入侵的前沿，最重要的是，要求及時(shí)向聯(lián)邦政府報(bào)告這些攻擊，以便能更好地防止未來(lái)的事件，并追究攻擊者的責(zé)任。

　　華納在一份聲明中說(shuō)：“似乎每天美國(guó)人一覺(jué)醒來(lái)都會(huì)聽(tīng)到又一場(chǎng)勒索軟件攻擊或網(wǎng)絡(luò)入侵的消息，但SolarWinds的黑客事件向我們表明，沒(méi)有人負(fù)責(zé)收集這些事件的規(guī)模和范圍的信息?！薄拔覀儾荒芤揽孔栽笀?bào)告來(lái)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施——我們需要一次例行報(bào)告要求，因此當(dāng)我們經(jīng)濟(jì)的重要行業(yè)受到網(wǎng)絡(luò)事件影響，聯(lián)邦政府應(yīng)調(diào)動(dòng)充足資源應(yīng)對(duì)，避免其影響?！?/p>

　　“我很高興我們能夠就這一修正案達(dá)成兩黨妥協(xié)，解決這些備受矚目的黑客事件所引發(fā)的許多核心問(wèn)題，”他補(bǔ)充說(shuō)。

　　華納呼吁采取更多行動(dòng)應(yīng)對(duì)這些威脅，并指出了不斷升級(jí)的網(wǎng)絡(luò)事件，包括今年早些時(shí)候針對(duì)Colonial Pipeline和肉類(lèi)生產(chǎn)商JBS USA的勒索軟件攻擊，以及去年的SolarWinds黑客攻擊。

　　參閱：24小時(shí)內(nèi)報(bào)告網(wǎng)絡(luò)入侵事件，美議員力推網(wǎng)絡(luò)安全事件報(bào)告立法

　　《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）將相應(yīng)更新

　　該修正案還包括對(duì)《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）的語(yǔ)言更新，以明確關(guān)鍵機(jī)構(gòu)在應(yīng)對(duì)網(wǎng)絡(luò)事件中的角色，該法案是基于彼得斯和波特曼上月提出的另一項(xiàng)立法。

　　波特曼在一份聲明中說(shuō)：“這項(xiàng)兩黨修正案將對(duì)FISMA進(jìn)行重大更新，通過(guò)明確職責(zé)和要求政府在美國(guó)人民的信息被泄露時(shí)迅速通知美國(guó)人民，為解決聯(lián)邦網(wǎng)絡(luò)安全長(zhǎng)期存在的弱點(diǎn)提供必要的問(wèn)責(zé)機(jī)制?！?/p>

　　必須通過(guò)的NDAA經(jīng)常被用來(lái)推動(dòng)其他可能得不到投票的措施。去年的NDAA包括超過(guò)24項(xiàng)主要的網(wǎng)絡(luò)建議，包括在白宮設(shè)立國(guó)家網(wǎng)絡(luò)主管職位。

　　緬因州共和黨議員柯林斯4日強(qiáng)調(diào)，修正案中的報(bào)告要求和其他措施對(duì)加強(qiáng)國(guó)家安全是必要的?？铝炙拐f(shuō)：“對(duì)國(guó)家面臨的網(wǎng)絡(luò)攻擊的危險(xiǎn)有一個(gè)清晰的認(rèn)識(shí)是必要的，這對(duì)優(yōu)先考慮并采取行動(dòng)來(lái)減輕和減少威脅是必要的?！薄拔茨苤贫◤?qiáng)有力的網(wǎng)絡(luò)事件通知要求，只會(huì)讓我們的對(duì)手有更多機(jī)會(huì)收集關(guān)于我們政府的情報(bào)，竊取我們公司的知識(shí)產(chǎn)權(quán)，并損害我們的關(guān)鍵基礎(chǔ)設(shè)施?！彼f(shuō)：“我敦促我的同事們通過(guò)我們的修正案，這是常識(shí)，早就該通過(guò)了?！?/p>

　　國(guó)會(huì)支持關(guān)鍵基礎(chǔ)設(shè)施的強(qiáng)制性網(wǎng)絡(luò)事件報(bào)告

　　據(jù)估計(jì)，美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施當(dāng)中85%的是由私人實(shí)體控制的，其中許多未能實(shí)踐基本網(wǎng)絡(luò)衛(wèi)生——在11月4日的聽(tīng)證會(huì)上，證人告訴眾議院議員，對(duì)關(guān)鍵基礎(chǔ)設(shè)施實(shí)施強(qiáng)制性網(wǎng)絡(luò)事件報(bào)告要求的時(shí)機(jī)可能已經(jīng)成熟。

　　俄勒岡州民主黨眾議員彼得·德法齊奧（Peter DeFazio）指出，最近對(duì)交通部門(mén)的一項(xiàng)調(diào)查發(fā)現(xiàn)，39%的受訪者沒(méi)有任何專(zhuān)門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全的工作人員，24%的人根本沒(méi)有對(duì)他們的員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。

　　他在一個(gè)委員會(huì)聽(tīng)證會(huì)上說(shuō)，水務(wù)部門(mén)的情況看起來(lái)更糟。今年6月公布的一項(xiàng)調(diào)查發(fā)現(xiàn)，42%的水務(wù)和污水處理公司表示，他們沒(méi)有對(duì)員工進(jìn)行任何網(wǎng)絡(luò)安全培訓(xùn)，其中超過(guò)68%的公司表示，他們沒(méi)有參加任何與網(wǎng)絡(luò)安全相關(guān)的訓(xùn)練或演習(xí)。

　　更重要的是，他說(shuō)，聯(lián)邦調(diào)查局估計(jì)，只有15%的網(wǎng)絡(luò)犯罪實(shí)際上被報(bào)告。

　　德法齊奧說(shuō)：“由于美國(guó)的公共安全和國(guó)家經(jīng)濟(jì)安全處于危險(xiǎn)之中，私營(yíng)部門(mén)的自愿措施可能是時(shí)候讓位于強(qiáng)制性的聯(lián)邦報(bào)告要求了?！薄拔覀兊恼_的方向前進(jìn)。我們需要做得更多?！?/p>

　　德法齊奧主席提出了兩種解決方案，在聽(tīng)證會(huì)上作證的行業(yè)專(zhuān)家都認(rèn)為這兩種方案可行。第一：強(qiáng)制要求向聯(lián)邦政府報(bào)告網(wǎng)絡(luò)事件。第二：在所有關(guān)鍵基礎(chǔ)設(shè)施組織中都需要配備一名負(fù)責(zé)網(wǎng)絡(luò)安全的專(zhuān)職員工。

　　交通、水務(wù)等行業(yè)的負(fù)責(zé)人對(duì)強(qiáng)制性報(bào)告網(wǎng)絡(luò)事件的做法表示了積極的支持和肯定。關(guān)鍵基礎(chǔ)設(shè)施行業(yè)對(duì)事件后的響應(yīng)和恢復(fù)更加關(guān)注，期望有一個(gè)正確的可落地的報(bào)告后的處置措施。比如網(wǎng)絡(luò)恢復(fù)能力有一個(gè)強(qiáng)制性的最低標(biāo)準(zhǔn)和基線標(biāo)準(zhǔn)，許多類(lèi)型的事情——報(bào)告、識(shí)別、緩解策略——都將開(kāi)始得到解決。

　　延伸閱讀--我國(guó)“關(guān)基”運(yùn)營(yíng)者如何報(bào)告網(wǎng)絡(luò)安全事件？

　　發(fā)生網(wǎng)絡(luò)安全事件后是否要向監(jiān)管部門(mén)報(bào)告，確實(shí)是一個(gè)比較復(fù)雜的問(wèn)題，“關(guān)基”企業(yè)要在監(jiān)管、合規(guī)要求與企業(yè)的財(cái)務(wù)、聲譽(yù)損失之間尋求平衡。我國(guó)的相關(guān)法律法規(guī)對(duì)“關(guān)基”運(yùn)營(yíng)者的網(wǎng)絡(luò)安全事件報(bào)告有這樣的規(guī)定：

　　我國(guó)《網(wǎng)絡(luò)安全法》第二十五條規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。

　　《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十八條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門(mén)、公安機(jī)關(guān)報(bào)告。

　　發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行或者主要功能故障、國(guó)家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個(gè)人信息泄露、造成較大經(jīng)濟(jì)損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時(shí)，保護(hù)工作部門(mén)應(yīng)當(dāng)在收到報(bào)告后，及時(shí)向國(guó)家網(wǎng)信部門(mén)、國(guó)務(wù)院公安部門(mén)報(bào)告。

　　正常情況下理解《條例》中的“應(yīng)當(dāng)”，是帶有強(qiáng)制性的要求。但在實(shí)踐中是否真實(shí)能落實(shí)，還有待細(xì)化。即使強(qiáng)制要求報(bào)告，報(bào)告的內(nèi)容、時(shí)機(jī)、時(shí)限均不夠明確，期待在《條例》的實(shí)施細(xì)則中能進(jìn)一步明確。