遭受网络攻击后，应向政府报告攻击事件

美国参议院提出了要求关键基础设施公司向联邦政府报告网络攻击的立法。

参议院国土安全和政府事务委员会主席昨天提出了新的网络事件报告法案。如果颁布，关键基础设施所有者和运营商必须在72小时内向政府报告网络攻击。

拟议的法案呼应众议院通过的国防授权法案，该法案要求关键基础设施所有者和运营商在72小时内报告重大网络安全事件。

新立法包括一项在网络安全和基础设施安全局（CISA）内设立一个网络事件审查办公室的建议。该办公室的作用是接收、汇总和分析报告的事件。

新法案还将规定，包括员工超过50人的企业、非营利组织以及州和地方政府在内的组织必须将其支付的任何勒索软件通知CISA。法律要求感染勒索软件的组织考虑恢复策略，而不是支付攻击者的费用。

根据新立法，CISA将有权传唤藐视事件报告和勒索软件支付要求的实体。对不遵守者的潜在处罚包括转介到司法部和被禁止签订联邦合同。

根据该立法，来自联邦机构的参与者将成立一个勒索软件联合工作队，“以协调正在进行的全国范围打击勒索软件攻击的运动，并确定和寻求国际合作的机会。”

介绍该法案的国土安全和政府事务主席加里·彼得斯表示，这可能有助于限制网络攻击的影响。

Peters在一份声明中说：“当关键基础设施所有者和运营商等实体成为网络漏洞的受害者或支付黑客解锁其系统的费用时，他们必须通知联邦政府，以便我们能够警告其他人，为潜在影响做好准备，并帮助防止其他广泛的攻击。”

本月早些时候，彼得斯表示，上一次更新于六年前的《联邦信息安全现代化法》不足以保护联邦网络。然后，他呼吁联邦政府及时共享网络攻击报告。