美擬議《網絡事件通報法案》將賦予信息披露企業部分豁免權
週三披露的一項新法案,將要求某些企業在遭遇駭客攻擊后,及時向政府進行通報。 同時為了鼓勵此類事件的披露,《網路事件通知法案》還將給予當事企業有限的豁免權。 顯然,這項亡羊補牢之舉,是針對近期曝光的 SolarWinds 和 Colonial Pipeline 攻擊的一個及時回應。
CNBC 指出,SolarWinds 攻擊事件讓政府機構也受到了波及,而 Colonial Pipeline 攻擊事件更是破壞了該國大部分地區的燃料供應。
隨著勒索軟體攻擊的激增,人們已日漸意識到攻擊事件資訊披露的重要性。 然而此前的問題是,聯邦法律並未提出硬性要求。
基於此,遭遇網路攻擊的相關企業普遍傾向於將事情藏著掖著,直至事態發展到已無法再隱瞞,但付出的代價也相當高昂。
以軟體巨頭微軟為例,公司總裁布拉德· 施密特在參議院聽證會上表示,公眾之所以知曉微軟也受到 SolarWinds 攻擊事件的波及,只因 FireEye 在去年 12 月率先披露了此事。
駭客攻擊時間線(圖自:SolarWinds)
FireEye 首席執行官 Kevin Mandia 在聽證會期間接受 CNBC 的 Eamon Javers 採訪時稱,資訊披露是一個該死且複雜的問題。
為化解這一尷尬的局面,擬議的新法案將引入一項新的披露要求 —— 包括聯邦機構、承包商、關鍵基礎設施公司在內,都必須在發現其系統遭到破壞時,向國土安全部進行通報。
與此同時,法案還賦予了這些企業在報告違規行為時可獲得的有限豁免 —— 比如股票投資者無法拿到披露資訊、並將之用於訴訟的證據,此外國土安全部需要對個人身份資訊進行匿名化處理。
基於此,企業能夠更加高效地通報相關攻擊事件,並允許政府在需要時採取及時有效的行動。