當?shù)貢r間11月4日，美國民主、共和兩黨參議員組成的小組正準備在即將到來的年度國防授權法案（NDAA）中加入一項條款，該條款將要求某些關鍵基礎設施組織在72小時內(nèi)向政府報告重大網(wǎng)絡事件。當天晚間宣布的這項修正案還將允許關鍵基礎設施組織、非營利組織、州和地方政府以及某些企業(yè)在24小時內(nèi)報告因勒索軟件攻擊而向黑客支付的款項。在經(jīng)歷了一年不斷升級的網(wǎng)絡攻擊后，有關網(wǎng)絡事件和勒索支付贖金都將上報給網(wǎng)絡安全和基礎設施安全局（CISA），以使監(jiān)管機構對國家網(wǎng)絡安全狀況有更大的透明度。

　　修正案是兩黨妥協(xié)的結果

　　該修正案由參議院國土安全和政府事務委員會主席加里·彼得斯（密歇根州民主黨）、高級成員羅布·波特曼（俄亥俄州共和黨）、參議院情報委員會主席馬克·華納（弗吉尼亞州民主黨）和參議員蘇珊·柯林斯（緬因州共和黨）共同發(fā)起。

　　修正案也是兩位參議員談判的結果：彼得斯和波特曼在9月提出了一項立法，提出了72小時的時間表，而華納、柯林斯和參議院情報委員會（Senate Intelligence Committee）除其他三名成員外，其他所有成員在7月提出了一項單獨的法案，列出了24小時的時間表。

　　彼得斯在一份聲明中說：“網(wǎng)絡攻擊和勒索軟件攻擊是嚴重的國家安全威脅，影響了從能源部門到聯(lián)邦政府和美國人自己的敏感個人信息的方方面面。”

　　行業(yè)組織反對24小時報告的要求，認為這沒有給他們足夠的時間來評估事故，并限制報告較少的重大事故。

　　彼得斯認為，該修正案將采取重大步驟加強網(wǎng)絡安全保護，確保CISA站在國家應對嚴重入侵的前沿，最重要的是，要求及時向聯(lián)邦政府報告這些攻擊，以便能更好地防止未來的事件，并追究攻擊者的責任。

　　華納在一份聲明中說：“似乎每天美國人一覺醒來都會聽到又一場勒索軟件攻擊或網(wǎng)絡入侵的消息，但SolarWinds的黑客事件向我們表明，沒有人負責收集這些事件的規(guī)模和范圍的信息?！薄拔覀儾荒芤揽孔栽笀蟾鎭肀Ｗo關鍵基礎設施——我們需要一次例行報告要求，因此當我們經(jīng)濟的重要行業(yè)受到網(wǎng)絡事件影響，聯(lián)邦政府應調(diào)動充足資源應對，避免其影響?！?/p>

　　“我很高興我們能夠就這一修正案達成兩黨妥協(xié)，解決這些備受矚目的黑客事件所引發(fā)的許多核心問題，”他補充說。

　　華納呼吁采取更多行動應對這些威脅，并指出了不斷升級的網(wǎng)絡事件，包括今年早些時候針對Colonial Pipeline和肉類生產(chǎn)商JBS USA的勒索軟件攻擊，以及去年的SolarWinds黑客攻擊。

　　參閱：24小時內(nèi)報告網(wǎng)絡入侵事件，美議員力推網(wǎng)絡安全事件報告立法

　　《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）將相應更新

　　該修正案還包括對《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）的語言更新，以明確關鍵機構在應對網(wǎng)絡事件中的角色，該法案是基于彼得斯和波特曼上月提出的另一項立法。

　　波特曼在一份聲明中說：“這項兩黨修正案將對FISMA進行重大更新，通過明確職責和要求政府在美國人民的信息被泄露時迅速通知美國人民，為解決聯(lián)邦網(wǎng)絡安全長期存在的弱點提供必要的問責機制?！?/p>

　　必須通過的NDAA經(jīng)常被用來推動其他可能得不到投票的措施。去年的NDAA包括超過24項主要的網(wǎng)絡建議，包括在白宮設立國家網(wǎng)絡主管職位。

　　緬因州共和黨議員柯林斯4日強調(diào)，修正案中的報告要求和其他措施對加強國家安全是必要的?？铝炙拐f：“對國家面臨的網(wǎng)絡攻擊的危險有一個清晰的認識是必要的，這對優(yōu)先考慮并采取行動來減輕和減少威脅是必要的?！薄拔茨苤贫◤娪辛Φ木W(wǎng)絡事件通知要求，只會讓我們的對手有更多機會收集關于我們政府的情報，竊取我們公司的知識產(chǎn)權，并損害我們的關鍵基礎設施。”她說：“我敦促我的同事們通過我們的修正案，這是常識，早就該通過了。”

　　國會支持關鍵基礎設施的強制性網(wǎng)絡事件報告

　　據(jù)估計，美國的關鍵基礎設施當中85%的是由私人實體控制的，其中許多未能實踐基本網(wǎng)絡衛(wèi)生——在11月4日的聽證會上，證人告訴眾議院議員，對關鍵基礎設施實施強制性網(wǎng)絡事件報告要求的時機可能已經(jīng)成熟。

　　俄勒岡州民主黨眾議員彼得·德法齊奧（Peter DeFazio）指出，最近對交通部門的一項調(diào)查發(fā)現(xiàn)，39%的受訪者沒有任何專門負責網(wǎng)絡安全的工作人員，24%的人根本沒有對他們的員工進行網(wǎng)絡安全培訓。

　　他在一個委員會聽證會上說，水務部門的情況看起來更糟。今年6月公布的一項調(diào)查發(fā)現(xiàn)，42%的水務和污水處理公司表示，他們沒有對員工進行任何網(wǎng)絡安全培訓，其中超過68%的公司表示，他們沒有參加任何與網(wǎng)絡安全相關的訓練或演習。

　　更重要的是，他說，聯(lián)邦調(diào)查局估計，只有15%的網(wǎng)絡犯罪實際上被報告。

　　德法齊奧說：“由于美國的公共安全和國家經(jīng)濟安全處于危險之中，私營部門的自愿措施可能是時候讓位于強制性的聯(lián)邦報告要求了?！薄拔覀兊恼_的方向前進。我們需要做得更多?！?/p>

　　德法齊奧主席提出了兩種解決方案，在聽證會上作證的行業(yè)專家都認為這兩種方案可行。第一：強制要求向聯(lián)邦政府報告網(wǎng)絡事件。第二：在所有關鍵基礎設施組織中都需要配備一名負責網(wǎng)絡安全的專職員工。

　　交通、水務等行業(yè)的負責人對強制性報告網(wǎng)絡事件的做法表示了積極的支持和肯定。關鍵基礎設施行業(yè)對事件后的響應和恢復更加關注，期望有一個正確的可落地的報告后的處置措施。比如網(wǎng)絡恢復能力有一個強制性的最低標準和基線標準，許多類型的事情——報告、識別、緩解策略——都將開始得到解決。

　　延伸閱讀--我國“關基”運營者如何報告網(wǎng)絡安全事件？

　　發(fā)生網(wǎng)絡安全事件后是否要向監(jiān)管部門報告，確實是一個比較復雜的問題，“關基”企業(yè)要在監(jiān)管、合規(guī)要求與企業(yè)的財務、聲譽損失之間尋求平衡。我國的相關法律法規(guī)對“關基”運營者的網(wǎng)絡安全事件報告有這樣的規(guī)定：

　　我國《網(wǎng)絡安全法》第二十五條規(guī)定：網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。

　　《關鍵信息基礎設施安全保護條例》第十八條規(guī)定：關鍵信息基礎設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時，運營者應當按照有關規(guī)定向保護工作部門、公安機關報告。

　　發(fā)生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡安全威脅時，保護工作部門應當在收到報告后，及時向國家網(wǎng)信部門、國務院公安部門報告。

　　正常情況下理解《條例》中的“應當”，是帶有強制性的要求。但在實踐中是否真實能落實，還有待細化。即使強制要求報告，報告的內(nèi)容、時機、時限均不夠明確，期待在《條例》的實施細則中能進一步明確。