當(dāng)?shù)貢r間11月4日，美國民主、共和兩黨參議員組成的小組正準(zhǔn)備在即將到來的年度國防授權(quán)法案（NDAA）中加入一項(xiàng)條款，該條款將要求某些關(guān)鍵基礎(chǔ)設(shè)施組織在72小時內(nèi)向政府報(bào)告重大網(wǎng)絡(luò)事件。當(dāng)天晚間宣布的這項(xiàng)修正案還將允許關(guān)鍵基礎(chǔ)設(shè)施組織、非營利組織、州和地方政府以及某些企業(yè)在24小時內(nèi)報(bào)告因勒索軟件攻擊而向黑客支付的款項(xiàng)。在經(jīng)歷了一年不斷升級的網(wǎng)絡(luò)攻擊后，有關(guān)網(wǎng)絡(luò)事件和勒索支付贖金都將上報(bào)給網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA），以使監(jiān)管機(jī)構(gòu)對國家網(wǎng)絡(luò)安全狀況有更大的透明度。

　　修正案是兩黨妥協(xié)的結(jié)果

　　該修正案由參議院國土安全和政府事務(wù)委員會主席加里·彼得斯（密歇根州民主黨）、高級成員羅布·波特曼（俄亥俄州共和黨）、參議院情報(bào)委員會主席馬克·華納（弗吉尼亞州民主黨）和參議員蘇珊·柯林斯（緬因州共和黨）共同發(fā)起。

　　修正案也是兩位參議員談判的結(jié)果：彼得斯和波特曼在9月提出了一項(xiàng)立法，提出了72小時的時間表，而華納、柯林斯和參議院情報(bào)委員會（Senate Intelligence Committee）除其他三名成員外，其他所有成員在7月提出了一項(xiàng)單獨(dú)的法案，列出了24小時的時間表。

　　彼得斯在一份聲明中說：“網(wǎng)絡(luò)攻擊和勒索軟件攻擊是嚴(yán)重的國家安全威脅，影響了從能源部門到聯(lián)邦政府和美國人自己的敏感個人信息的方方面面。”

　　行業(yè)組織反對24小時報(bào)告的要求，認(rèn)為這沒有給他們足夠的時間來評估事故，并限制報(bào)告較少的重大事故。

　　彼得斯認(rèn)為，該修正案將采取重大步驟加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，確保CISA站在國家應(yīng)對嚴(yán)重入侵的前沿，最重要的是，要求及時向聯(lián)邦政府報(bào)告這些攻擊，以便能更好地防止未來的事件，并追究攻擊者的責(zé)任。

　　華納在一份聲明中說：“似乎每天美國人一覺醒來都會聽到又一場勒索軟件攻擊或網(wǎng)絡(luò)入侵的消息，但SolarWinds的黑客事件向我們表明，沒有人負(fù)責(zé)收集這些事件的規(guī)模和范圍的信息?！薄拔覀儾荒芤揽孔栽笀?bào)告來保護(hù)關(guān)鍵基礎(chǔ)設(shè)施——我們需要一次例行報(bào)告要求，因此當(dāng)我們經(jīng)濟(jì)的重要行業(yè)受到網(wǎng)絡(luò)事件影響，聯(lián)邦政府應(yīng)調(diào)動充足資源應(yīng)對，避免其影響?！?/p>

　　“我很高興我們能夠就這一修正案達(dá)成兩黨妥協(xié)，解決這些備受矚目的黑客事件所引發(fā)的許多核心問題，”他補(bǔ)充說。

　　華納呼吁采取更多行動應(yīng)對這些威脅，并指出了不斷升級的網(wǎng)絡(luò)事件，包括今年早些時候針對Colonial Pipeline和肉類生產(chǎn)商JBS USA的勒索軟件攻擊，以及去年的SolarWinds黑客攻擊。

　　參閱：24小時內(nèi)報(bào)告網(wǎng)絡(luò)入侵事件，美議員力推網(wǎng)絡(luò)安全事件報(bào)告立法

　　《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）將相應(yīng)更新

　　該修正案還包括對《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）的語言更新，以明確關(guān)鍵機(jī)構(gòu)在應(yīng)對網(wǎng)絡(luò)事件中的角色，該法案是基于彼得斯和波特曼上月提出的另一項(xiàng)立法。

　　波特曼在一份聲明中說：“這項(xiàng)兩黨修正案將對FISMA進(jìn)行重大更新，通過明確職責(zé)和要求政府在美國人民的信息被泄露時迅速通知美國人民，為解決聯(lián)邦網(wǎng)絡(luò)安全長期存在的弱點(diǎn)提供必要的問責(zé)機(jī)制?！?/p>

　　必須通過的NDAA經(jīng)常被用來推動其他可能得不到投票的措施。去年的NDAA包括超過24項(xiàng)主要的網(wǎng)絡(luò)建議，包括在白宮設(shè)立國家網(wǎng)絡(luò)主管職位。

　　緬因州共和黨議員柯林斯4日強(qiáng)調(diào)，修正案中的報(bào)告要求和其他措施對加強(qiáng)國家安全是必要的。柯林斯說：“對國家面臨的網(wǎng)絡(luò)攻擊的危險(xiǎn)有一個清晰的認(rèn)識是必要的，這對優(yōu)先考慮并采取行動來減輕和減少威脅是必要的?！薄拔茨苤贫◤?qiáng)有力的網(wǎng)絡(luò)事件通知要求，只會讓我們的對手有更多機(jī)會收集關(guān)于我們政府的情報(bào)，竊取我們公司的知識產(chǎn)權(quán)，并損害我們的關(guān)鍵基礎(chǔ)設(shè)施?！彼f：“我敦促我的同事們通過我們的修正案，這是常識，早就該通過了。”

　　國會支持關(guān)鍵基礎(chǔ)設(shè)施的強(qiáng)制性網(wǎng)絡(luò)事件報(bào)告

　　據(jù)估計(jì)，美國的關(guān)鍵基礎(chǔ)設(shè)施當(dāng)中85%的是由私人實(shí)體控制的，其中許多未能實(shí)踐基本網(wǎng)絡(luò)衛(wèi)生——在11月4日的聽證會上，證人告訴眾議院議員，對關(guān)鍵基礎(chǔ)設(shè)施實(shí)施強(qiáng)制性網(wǎng)絡(luò)事件報(bào)告要求的時機(jī)可能已經(jīng)成熟。

　　俄勒岡州民主黨眾議員彼得·德法齊奧（Peter DeFazio）指出，最近對交通部門的一項(xiàng)調(diào)查發(fā)現(xiàn)，39%的受訪者沒有任何專門負(fù)責(zé)網(wǎng)絡(luò)安全的工作人員，24%的人根本沒有對他們的員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。

　　他在一個委員會聽證會上說，水務(wù)部門的情況看起來更糟。今年6月公布的一項(xiàng)調(diào)查發(fā)現(xiàn)，42%的水務(wù)和污水處理公司表示，他們沒有對員工進(jìn)行任何網(wǎng)絡(luò)安全培訓(xùn)，其中超過68%的公司表示，他們沒有參加任何與網(wǎng)絡(luò)安全相關(guān)的訓(xùn)練或演習(xí)。

　　更重要的是，他說，聯(lián)邦調(diào)查局估計(jì)，只有15%的網(wǎng)絡(luò)犯罪實(shí)際上被報(bào)告。

　　德法齊奧說：“由于美國的公共安全和國家經(jīng)濟(jì)安全處于危險(xiǎn)之中，私營部門的自愿措施可能是時候讓位于強(qiáng)制性的聯(lián)邦報(bào)告要求了?！薄拔覀兊恼_的方向前進(jìn)。我們需要做得更多。”

　　德法齊奧主席提出了兩種解決方案，在聽證會上作證的行業(yè)專家都認(rèn)為這兩種方案可行。第一：強(qiáng)制要求向聯(lián)邦政府報(bào)告網(wǎng)絡(luò)事件。第二：在所有關(guān)鍵基礎(chǔ)設(shè)施組織中都需要配備一名負(fù)責(zé)網(wǎng)絡(luò)安全的專職員工。

　　交通、水務(wù)等行業(yè)的負(fù)責(zé)人對強(qiáng)制性報(bào)告網(wǎng)絡(luò)事件的做法表示了積極的支持和肯定。關(guān)鍵基礎(chǔ)設(shè)施行業(yè)對事件后的響應(yīng)和恢復(fù)更加關(guān)注，期望有一個正確的可落地的報(bào)告后的處置措施。比如網(wǎng)絡(luò)恢復(fù)能力有一個強(qiáng)制性的最低標(biāo)準(zhǔn)和基線標(biāo)準(zhǔn)，許多類型的事情——報(bào)告、識別、緩解策略——都將開始得到解決。

　　延伸閱讀--我國“關(guān)基”運(yùn)營者如何報(bào)告網(wǎng)絡(luò)安全事件？

　　發(fā)生網(wǎng)絡(luò)安全事件后是否要向監(jiān)管部門報(bào)告，確實(shí)是一個比較復(fù)雜的問題，“關(guān)基”企業(yè)要在監(jiān)管、合規(guī)要求與企業(yè)的財(cái)務(wù)、聲譽(yù)損失之間尋求平衡。我國的相關(guān)法律法規(guī)對“關(guān)基”運(yùn)營者的網(wǎng)絡(luò)安全事件報(bào)告有這樣的規(guī)定：

　　我國《網(wǎng)絡(luò)安全法》第二十五條規(guī)定：網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

　　《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十八條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運(yùn)營者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。

　　發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟(jì)損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時，保護(hù)工作部門應(yīng)當(dāng)在收到報(bào)告后，及時向國家網(wǎng)信部門、國務(wù)院公安部門報(bào)告。

　　正常情況下理解《條例》中的“應(yīng)當(dāng)”，是帶有強(qiáng)制性的要求。但在實(shí)踐中是否真實(shí)能落實(shí)，還有待細(xì)化。即使強(qiáng)制要求報(bào)告，報(bào)告的內(nèi)容、時機(jī)、時限均不夠明確，期待在《條例》的實(shí)施細(xì)則中能進(jìn)一步明確。