在拜登總統(tǒng)于3月15日簽署的《2022年綜合撥款法案》中，《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》得以通過(guò)，并提出了新的數(shù)據(jù)泄露報(bào)告要求。這項(xiàng)新規(guī)定進(jìn)一步推動(dòng)了聯(lián)邦政府改善國(guó)家網(wǎng)絡(luò)安全的努力，至少部分是由Colonial Pipeline網(wǎng)絡(luò)攻擊和SolarWinds攻擊引發(fā)的，該攻擊使東海岸的天然氣流通中斷數(shù)日。美國(guó)國(guó)會(huì)和總統(tǒng)在制定這項(xiàng)法律時(shí)，很可能也考慮到了俄羅斯因在烏克蘭的戰(zhàn)爭(zhēng)而不斷增加的網(wǎng)絡(luò)攻擊的威脅。

　　簡(jiǎn)而言之，該法要求關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的某些實(shí)體向美國(guó)國(guó)土安全部（DHS）報(bào)告：

　　法案所規(guī)定的網(wǎng)絡(luò)事件，在不遲于法案所管轄的實(shí)體有理由相信事件發(fā)生后的72小時(shí)，以及

　　因勒索軟件攻擊而在支付贖金后24小時(shí)內(nèi)支付的任何贖金（即使勒索軟件攻擊不屬于前一點(diǎn)中要報(bào)告的網(wǎng)絡(luò)事件）

　　如果有大量新的或不同的信息，以及在法案所管轄的實(shí)體通知DHS事件已經(jīng)結(jié)束并已完全緩解和解決網(wǎng)絡(luò)事件之前，也需要補(bǔ)充報(bào)告。此外，法案所管轄的實(shí)體必須根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長(zhǎng)（CISA）發(fā)布的規(guī)則，留存與法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付有關(guān)的信息。

　　這些要求的生效日期，以及報(bào)告的時(shí)間、方式和形式，以及其他項(xiàng)目，將在CISA局長(zhǎng)發(fā)布的規(guī)則中規(guī)定。局長(zhǎng)有24個(gè)月的時(shí)間來(lái)發(fā)布擬議的規(guī)則制定通知，之后有18個(gè)月的時(shí)間來(lái)發(fā)布最終規(guī)則。

　　具體來(lái)說(shuō)，：

　　法案所管轄的實(shí)體：該法涵蓋了關(guān)鍵基礎(chǔ)設(shè)施部門(mén)（即總統(tǒng)政策指令21，Presidential Policy Directive 21所定義的）中的符合CISA局長(zhǎng)所確定的定義的實(shí)體。這些部門(mén)的包括關(guān)鍵制造業(yè)、能源、金融服務(wù)、食品和農(nóng)業(yè)、醫(yī)療保健、信息技術(shù)和運(yùn)輸。在進(jìn)一步定義覆蓋實(shí)體時(shí)，CISA局長(zhǎng)將考慮一些因素，如損害一個(gè)實(shí)體可能導(dǎo)致的國(guó)家和經(jīng)濟(jì)安全的后果，該實(shí)體是否是惡意網(wǎng)絡(luò)行為者的目標(biāo)，以及進(jìn)入這樣一個(gè)實(shí)體是否能夠破壞關(guān)鍵基礎(chǔ)設(shè)施。

　　法案所規(guī)定的網(wǎng)絡(luò)事件：根據(jù)該法案，將要求對(duì) “法案所規(guī)定的網(wǎng)絡(luò)事件”進(jìn)行報(bào)告。部分借用《2002年國(guó)土安全法》第二十二章第2209（a）（4）條，該法規(guī)定的網(wǎng)絡(luò)事件一般是指在沒(méi)有合法授權(quán)的情況下，危害信息系統(tǒng)或信息系統(tǒng)信息的完整性、保密性或可用性的事件。根據(jù)該法，網(wǎng)絡(luò)事件必須是一個(gè)由CISA局長(zhǎng)進(jìn)一步定義的法案所管轄的實(shí)體所經(jīng)歷的“重大網(wǎng)絡(luò)事件”，才能被涵蓋。

　　信息系統(tǒng)：信息系統(tǒng)是指 “為收集、處理、維護(hù)、使用、共享、傳播或處置信息而組織的一套離散的信息資源”，其中包括工業(yè)控制系統(tǒng)，如監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)和可編程邏輯控制器。

　　贖金支付：贖金支付是指在任何時(shí)候作為贖金交付的與勒索軟件攻擊有關(guān)的任何金錢(qián)或其他財(cái)產(chǎn)或資產(chǎn)，包括虛擬貨幣，或其任何部分的傳輸。

　　法案所規(guī)定的網(wǎng)絡(luò)事件的報(bào)告需要包括：

　　對(duì)法案所規(guī)定的網(wǎng)絡(luò)事件的描述，包括：

　　受影響的信息系統(tǒng)、網(wǎng)絡(luò)或設(shè)備的識(shí)別和功能描述，這些系統(tǒng)、網(wǎng)絡(luò)或設(shè)備已經(jīng)或有理由相信已經(jīng)受到影響。

　　描述未經(jīng)授權(quán)的訪問(wèn)，導(dǎo)致受影響的信息系統(tǒng)或網(wǎng)絡(luò)的機(jī)密性、完整性或可用性的嚴(yán)重?fù)p失，或業(yè)務(wù)或工業(yè)運(yùn)作的中斷。

　　此類(lèi)事件的估計(jì)日期范圍；以及

　　對(duì)法案所管轄的實(shí)體的影響。

　　描述被利用的漏洞和已實(shí)施的安全防御措施，以及用于實(shí)施法案所規(guī)定的網(wǎng)絡(luò)事件的戰(zhàn)術(shù)、技術(shù)和程序（如適用）。

　　有理由相信應(yīng)對(duì)該網(wǎng)絡(luò)事件負(fù)責(zé)的每個(gè)行為者的身份或聯(lián)系信息（如適用）。

　　如果適用的話(huà)，被認(rèn)為或有理由認(rèn)為被未經(jīng)授權(quán)的人訪問(wèn)或獲取的信息類(lèi)別。

　　明確識(shí)別受影響的法案所管轄的實(shí)體的名稱(chēng)和其他信息，包括（如適用）該實(shí)體的注冊(cè)或組建國(guó)家、商號(hào)、法定名稱(chēng)或其他標(biāo)識(shí)符。

　　法案所管轄的實(shí)體的聯(lián)系信息，或在適用的情況下，覆蓋實(shí)體的授權(quán)服務(wù)供應(yīng)商。

　　贖金支付報(bào)告也需要類(lèi)似信息，包括 （i） 贖金支付要求，包括所要求的虛擬貨幣或其他商品的類(lèi)型（如適用），（ii） 贖金支付指示，包括有關(guān)支付地點(diǎn)的信息（如適用），以及（iii） 贖金支付的金額。法案所管轄的實(shí)體可以使用第三方，如事件響應(yīng)公司、保險(xiǎn)商或服務(wù)提供商來(lái)提交這些報(bào)告，但這并不免除法案所管轄的實(shí)體的報(bào)告義務(wù)。

　　國(guó)土安全部的國(guó)家網(wǎng)絡(luò)安全和通信集成中心（National Cybersecurity and Communications Integration Center，NCCIC）負(fù)責(zé)開(kāi)展各種活動(dòng)，根據(jù)該法接收和分析報(bào)告。這些活動(dòng)包括：

　　評(píng)估網(wǎng)絡(luò)事件對(duì)公眾健康和安全的潛在影響。

　　與適當(dāng)?shù)穆?lián)邦部門(mén)和機(jī)構(gòu)協(xié)調(diào)和分享信息，以確定和跟蹤贖金支付，包括那些使用虛擬貨幣的贖金。

　　在自愿的基礎(chǔ)上，促進(jìn)相關(guān)關(guān)鍵基礎(chǔ)設(shè)施所有者和經(jīng)營(yíng)者之間及時(shí)分享與法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付有關(guān)的信息，特別是與正在發(fā)生的網(wǎng)絡(luò)威脅或安全漏洞有關(guān)的信息；

　　以及如果涉及的網(wǎng)絡(luò)事件也符合重大網(wǎng)絡(luò)事件的定義，例如，對(duì)有關(guān)事件的細(xì)節(jié)進(jìn)行審查，并傳播預(yù)防或減輕未來(lái)類(lèi)似事件的方法。重大網(wǎng)絡(luò)事件是指國(guó)土安全部部長(zhǎng)認(rèn)為可能會(huì)對(duì)美國(guó)的國(guó)家安全利益、外交關(guān)系或經(jīng)濟(jì)，或?qū)γ绹?guó)人民的公眾信心、公民自由或公共健康和安全造成明顯損害的網(wǎng)絡(luò)事件或一組相關(guān)的網(wǎng)絡(luò)事件。

　　該法還對(duì)法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付報(bào)告中的信息提供了若干保護(hù)。例如，根據(jù)該法，此類(lèi)報(bào)告中包含的信息將根據(jù)其他聯(lián)邦法律為保護(hù)個(gè)人信息而制定的程序進(jìn)行保留、使用和傳播，并以保護(hù)個(gè)人信息免遭未經(jīng)授權(quán)的使用或未經(jīng)授權(quán)的披露。此外，一般來(lái)說(shuō)，聯(lián)邦、州、地方或部落政府實(shí)體都不得使用該法規(guī)定的此類(lèi)報(bào)告中的信息來(lái)監(jiān)管，包括通過(guò)執(zhí)法行動(dòng)來(lái)監(jiān)管支付贖金的承保實(shí)體或?qū)嶓w的活動(dòng)。這種執(zhí)法的排除并不適用于政府實(shí)體明確允許實(shí)體向該機(jī)構(gòu)提交的報(bào)告，以履行監(jiān)管報(bào)告義務(wù)。該法還禁止因提交此類(lèi)報(bào)告而提出或維持訴訟理由。此外，法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付的報(bào)告將：

　　被視為法案所管轄的實(shí)體的商業(yè)、財(cái)務(wù)和專(zhuān)有信息，如果法案所管轄的實(shí)體這樣指定。

　　根據(jù)聯(lián)邦《信息自由法》以及類(lèi)似的州、部落或地方法律，免于披露。

　　不構(gòu)成對(duì)法律規(guī)定的任何適用特權(quán)或保護(hù)的放棄，包括商業(yè)秘密保護(hù)；以及

　　不受任何聯(lián)邦機(jī)構(gòu)或部門(mén)的規(guī)則或任何關(guān)于與決策官員單方面溝通的司法理論的約束。