周三披露的一项新法案,将要求某些企业在遭遇黑客攻击后,及时向政府进行通报。同时为了鼓励此类事件的披露,《网络事件通知法案》还将给予当事企业有限的豁免权。显然,这项亡羊补牢之举,是针对近期曝光的 SolarWinds 和 Colonial Pipeline 攻击的一个及时回应。
CNBC 指出,SolarWinds 攻击事件让政府机构也受到了波及,而 Colonial Pipeline 攻击事件更是破坏了该国大部分地区的燃料供应。
随着勒索软件攻击的激增,人们已日渐意识到攻击事件信息披露的重要性。然而此前的问题是,联邦法律并未提出硬性要求。
基于此,遭遇网络攻击的相关企业普遍倾向于将事情藏着掖着,直至事态发展到已无法再隐瞒,但付出的代价也相当高昂。
以软件巨头微软为例,公司总裁布拉德·施密特在参议院听证会上表示,公众之所以知晓微软也受到 SolarWinds 攻击事件的波及,只因 FireEye 在去年 12 月率先披露了此事。
黑客攻击时间线(图自:SolarWinds)
FireEye 首席执行官 Kevin Mandia 在听证会期间接受 CNBC 的 Eamon Javers 采访时称,信息披露是一个该死且复杂的问题。
为化解这一尴尬的局面,拟议的新法案将引入一项新的披露要求 —— 包括联邦机构、承包商、关键基础设施公司在内,都必须在发现其系统遭到破坏时,向国土安全部进行通报。
与此同时,法案还赋予了这些企业在报告违规行为时可获得的有限豁免 —— 比如股票投资者无法拿到披露信息、并将之用于诉讼的证据,此外国土安全部需要对个人身份信息进行匿名化处理。
基于此,企业能够更加高效地通报相关攻击事件,并允许政府在需要时采取及时有效的行动。
(举报)