當(dāng)?shù)貢r(shí)間2021年6月17日，CNN報(bào)道，在一系列威脅國(guó)家經(jīng)濟(jì)和國(guó)家安全的勒索軟件攻擊之后，美國(guó)立法者正在準(zhǔn)備立法，要求大量公共和私人實(shí)體在網(wǎng)絡(luò)安全入侵出現(xiàn)24小時(shí)內(nèi)向政府報(bào)告。該法案草案由弗吉尼亞州民主黨參議員華納（Mark Warner）、佛羅里達(dá)州的共和黨人馬爾科·盧比奧（Marco Rubio）和緬因州的蘇珊·柯林斯（Susan Collins）共同發(fā)起，要求向國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局（Cybersecurity and Infrastructure Agency）報(bào)告網(wǎng)絡(luò)入侵事件。CISA將與國(guó)家情報(bào)總監(jiān)、管理和預(yù)算辦公室（Office of Management and Budget）、國(guó)防部（Defense Department）和聯(lián)邦首席信息官（Federal Chief Information Officer）合作，制定規(guī)則，規(guī)定誰(shuí)必須準(zhǔn)確報(bào)告何種類(lèi)型的入侵。

　　這一倡議反映了國(guó)會(huì)再次努力通過(guò)期待已久的有關(guān)網(wǎng)絡(luò)安全入侵報(bào)告的聯(lián)邦法規(guī)。目前沒(méi)有統(tǒng)一的聯(lián)邦標(biāo)準(zhǔn)，批評(píng)人士多年來(lái)一直認(rèn)為，這是保護(hù)美國(guó)免受網(wǎng)絡(luò)攻擊的障礙。華納是參議院情報(bào)委員會(huì)（Senate Intelligence Committee）主席，盧比奧是該委員會(huì)的共和黨高層，柯林斯至少?gòu)?012年起就一直在推動(dòng)制定全面的聯(lián)邦網(wǎng)絡(luò)安全立法。這是最早應(yīng)對(duì)一系列攻擊的法案之一，這些攻擊始于太陽(yáng)風(fēng)（SolarWinds）的入侵，并繼續(xù)通過(guò)微軟Exchange遭黑客攻擊，以及殖民管道（Colonial Pipeline）和肉類(lèi)供應(yīng)商JBS的勒索軟件事件。無(wú)論在眾議院還是參議院，這都不會(huì)是最后一次。

　　幾個(gè)月來(lái)，華納一直在推動(dòng)這個(gè)想法。在今年2月華納委員會(huì)舉行的聽(tīng)證會(huì)上，這位弗吉尼亞州民主黨人、其他參議員以及太陽(yáng)風(fēng)（SolarWinds）、微軟（Microsoft）和火眼（FireEye）的證人討論了華納一直以來(lái)的想法。人們擔(dān)心的是，如果FireEye沒(méi)有主動(dòng)透露自己是太陽(yáng)風(fēng)供應(yīng)鏈黑客襲擊的受害者，損失可能會(huì)更嚴(yán)重。太陽(yáng)風(fēng)的供應(yīng)鏈黑客襲擊讓9個(gè)聯(lián)邦機(jī)構(gòu)和許多科技公司受到了影響。

　　6月6日在全國(guó)廣播公司（NBC）的《會(huì)見(jiàn)媒體》（Meet the Press）節(jié)目中，華納表示：“我們應(yīng)該落實(shí)，我們已經(jīng)通過(guò)兩黨立法來(lái)做到這一點(diǎn)，要求當(dāng)公司受到攻擊時(shí)，向政府報(bào)告?！爆F(xiàn)在沒(méi)有任何要求?！?/p>

　　美國(guó)有線(xiàn)電視新聞網(wǎng)（CNN）獲得的這份在華盛頓流傳的法案，將適用于美國(guó)政府機(jī)構(gòu)、聯(lián)邦承包商以及關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商，比如制造業(yè)、能源和金融服務(wù)行業(yè)的企業(yè)。行業(yè)代表和行業(yè)團(tuán)體已經(jīng)收到了討論草案的副本。根據(jù)討論草案，這些實(shí)體將被要求向美國(guó)國(guó)土安全部（Department of Homeland Security）的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）提交遭網(wǎng)絡(luò)入侵報(bào)告。該法案將指示該機(jī)構(gòu)建立一個(gè)接收?qǐng)?bào)告的安全機(jī)制，對(duì)提交網(wǎng)絡(luò)入侵通知報(bào)告的公司的責(zé)任保護(hù)。網(wǎng)絡(luò)安全專(zhuān)家表示，這對(duì)確保企業(yè)不怕披露遭攻擊行為，并幫助美國(guó)官員加強(qiáng)國(guó)家的網(wǎng)絡(luò)安全至關(guān)重要。一些行業(yè)已經(jīng)有了更嚴(yán)格的報(bào)告要求。例如，美國(guó)運(yùn)輸安全管理局（Transportation Security Administration）最近對(duì)美國(guó)管道公司實(shí)施了12小時(shí)的違規(guī)報(bào)告要求。

　　根據(jù)法案草案，這些要求將優(yōu)先于24小時(shí)的最后期限。該法案草案要求國(guó)土安全部制定與實(shí)施該法律相關(guān)的定義和要求，并要求國(guó)土安全部及其網(wǎng)絡(luò)安全機(jī)構(gòu)就這些通知向國(guó)會(huì)提交年度報(bào)告。

　　美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）一名高級(jí)官員本周呼吁向該機(jī)構(gòu)報(bào)告更多網(wǎng)絡(luò)安全事件，稱(chēng)這將有助于美國(guó)政府保護(hù)全國(guó)關(guān)鍵行業(yè)免受網(wǎng)絡(luò)攻擊。”我們需要了解國(guó)家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力，“該機(jī)構(gòu)網(wǎng)絡(luò)安全執(zhí)行助理主任埃里克·戈?duì)柎奶梗‥ric Goldstein）6月15在眾議院國(guó)土安全委員會(huì)（House Homeland Security Committee）的聽(tīng)證會(huì)上說(shuō)?！蔽覀冃枰私鈹橙耸窃谀睦锴秩脒@個(gè)國(guó)家的網(wǎng)絡(luò)。我們需要了解他們?nèi)肭謺r(shí)使用的技術(shù)。我們需要了解他們正在做什么或試圖做什么。我們得到的這類(lèi)信息越多，我們就能保護(hù)其他人?！案?duì)柎奶箤?duì)議員們說(shuō)：”作為一個(gè)國(guó)家，我們?cè)侥芡ㄟ^(guò)其他途徑推動(dòng)網(wǎng)絡(luò)安全事件向CISA報(bào)告，就像TSA最近按照他們的指示所做的那樣，當(dāng)然也像你們的幾位同事所建議的那樣，這將有助于推動(dòng)這一變化?！?/p>

　　立法草案要求，除了入侵報(bào)告外，實(shí)體還必須提供定期更新。根據(jù)這些規(guī)則，最初的報(bào)告和更新至少都必須包含一系列信息，比如受到影響的網(wǎng)絡(luò)、黑客使用的戰(zhàn)術(shù)以及受害者的聯(lián)系信息。不遵守該法律的聯(lián)邦承包商將面臨最高的懲罰，包括不再有資格獲得未來(lái)的合同。關(guān)鍵的基礎(chǔ)設(shè)施所有者或網(wǎng)絡(luò)事故響應(yīng)公司如果不遵守規(guī)定或超過(guò)24小時(shí)，就可能面臨最高相當(dāng)于其上一年總收入0.5%的罰款。

　　鑒于該法案的重點(diǎn)是CISA，很可能會(huì)有一個(gè)不是華納的委員會(huì)來(lái)審查該法案，即國(guó)土安全與政府事務(wù)委員會(huì)。熟悉該委員會(huì)計(jì)劃的消息人士說(shuō)，該委員會(huì)的共和黨領(lǐng)袖、俄亥俄州的羅布·波特曼（Rob Portman）一直在制定自己的事件報(bào)告立法。

　　眾議院也有幾個(gè)委員會(huì)在研究這個(gè)想法。網(wǎng)絡(luò)空間日光浴室委員會(huì)也一直在研究這個(gè)問(wèn)題。拜登（Joe Biden）總統(tǒng)的行政命令將要求聯(lián)邦承包商報(bào)告事故，美國(guó)運(yùn)輸安全管理局（Transportation Security Administration）也對(duì)管道運(yùn)營(yíng)商發(fā)布了嚴(yán)格的報(bào)告規(guī)則。

　　每個(gè)州都有自己的網(wǎng)絡(luò)違規(guī)報(bào)告法，但它們主要側(cè)重于公開(kāi)披露涉及敏感個(gè)人信息的違規(guī)行為。年復(fù)一年，美國(guó)國(guó)會(huì)都未能制定一部全國(guó)性的網(wǎng)絡(luò)入侵報(bào)告法。