在調查發現SolarWinds黑客攻擊事件對美國企業和聯邦政府有著極其深遠的影響之後，微軟和FireEye高管於本週二聯合敦促國會採取行動，以製定強制性的安全報告披露規則。微軟總裁Brad Smith在提交給參議院情報委員會的文書中表示：“我們需要讓私營機構承擔明確、一致的披露義務，否則企業會在遭受黑客入侵時紛紛保持沉默”。

黑客攻擊時間線（圖自：SolarWinds）

顯然，作為SolarWinds 入侵事件的餘波，安全行業對當下的糟糕狀況感到十分無奈，因而Brad Smith 認為大家是時候做出集體的轉變。

我們需要用明確、一致性的義務，來代替這種可怕的沉默。只有這樣，私營組織才會在遭受到重大事件影響時及時披露信息。

曾因參與早期調查而受到讚譽的FireEye 首席執行官Kevin Mandia 補充道：

企業應該有一種方法來披露可能對國家安全造成重大影響的安全公告，而不必擔心因此而受到法律的製裁。

與此同時，美國政府應考慮制定一個聯邦層面的披露方案。除了分享威脅情報，還應通報與黑客攻擊/ 入侵事件相關的細節。

FireEye指出，去年12月，擁有復雜背景的黑客組織成功利用了SolarWinds的軟件漏洞，滲透了多達1.8萬名客戶的內部網絡，其中就包括FireEye和微軟。

某位白宮官員在上週表示，在長達數月的行動期間，其已證實有9 個聯邦機構和100 家私營實體受到了SolarWinds 黑客事件的影響，且情報官員直指攻擊者與俄方有關。

（圖via SeekingAlpha）

Kevin Mandia 和Brad Smith 指出：“遺憾的是，按照現行的法律，相關企業並不需要主動公開披露黑客攻擊事件”。

雖然法律上沒有提出舉報和披露的義務，但我們認為這麼做仍然很有必要。

除了保障每位客戶的權益，還有助於維護聯邦政府的安全。

如果沒有這方面的信息披露與共享，那我們就無法確保這個國家的安全。

據悉，雖然目前全美多州已明確規定要以某種形式披露安全公告，但在經歷了多年的拉扯之後，聯邦政府仍未能將此事擺上重要的日程。

參議院情報委員會主席Mark Warner 週二表示：“我們可能等到有意披露的機構，但也可能對黑客攻擊事件毫不知情。就算其它大型企業也可能成為受害者，但就是沒人選擇挺身而出”。

基於此，Mark Warner 認為越來越有必要製定一套強制性的安全公告和信息共享披露制度，並且建議在聯邦層級上做出相應的努力。