此举表明美国网络安全立法距离落地又向前迈进了一步,拜登政府认为这一法规对于保护美国关键基础设施至关重要。
美国参议院通过一揽子网络安全议案,将要求公司上报黑客攻击事件
美国参议院周二通过了一揽子网络安全议案,要求企业向政府报告破坏性黑客攻击和勒索软件赎金支付,表明美国网络安全立法距离落地又向前迈进了一步,拜登政府认为这一法规对于保护美国关键基础设施至关重要。
这项《加强美国网络安全法》(Strengthening American Cybersecurity Act)由三项议案组成,旨在加强公共和私营部门的网络安全,包括推进联邦机构处理网络事务的现代化水平,并升级联邦政府的云技术应用。该法案下,相关公司必须在72小时内向网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, 简称CISA)报告已经认定的漏洞,并在24小时内报告向勒索软件支付的赎金。
在美国总统拜登(Joe Biden)向国会发表国情咨文演讲前几个小时,该立法的提案获得参议院一致通过,现将提交众议院。
2020年一家网络安全公司首先发现SolarWinds Corp.的一个软件更新被盗用用于入侵联邦政府的网络,且此次网络攻击与俄罗斯有关,之后加强对私营部门计算机网络的信息掌握成为拜登政府的优先事项。去年美国东海岸最大的燃油管道运营商Colonial Pipeline Co.又遭勒索软件攻击,管道运营出现中断,自那以来美国政府官员已经公布了多项针对具体部门的规定,要求许多管道和铁路运营商上报黑客攻击事件。
根据参议院周二通过的这一法案,联邦政府认定的16个关键基础设施部门(如能源或金融服务)的许多公司都将适用于这些规定。美国官员希望在联邦政府部门和私营部门公司之间分析和共享有关网络攻击的数据,以防止其他公司或领域发生类似事件。
虽然该法案对哪些公司将纳入该规定提供了一些指南,并提到了潜在的经济破坏或国家安全威胁,但CISA将通过正式的规则制定程序决定具体细节。同样,CISA将决定公司必须报告哪些类型的事件,以及必须共享哪些信息。
这项立法颁布后,CISA将由两年时间来提出提交相关规定,之后将有18个月来完成这些规定的推出。企业对其共享的信息将拥有法律责任保障,且不会因不遵守规定而面临罚款。该议案由密歇根州民主党参议员Gary Peters和俄亥俄州共和党参议员Rob Portman在2月份提出,两人分别任参议院下属的国土安全和政府事务委员会(Homeland Security and Governmental Affairs Committee)的主席和副主席