美拟议《网络事件通报法案》将赋予信息披露企业部分豁免权

周三披露的一项新法案，将要求某些企业在遭遇黑客攻击后，及时向政府进行通报。同时为了鼓励此类事件的披露，《网络事件通知法案》还将给予当事企业有限的豁免权。显然，这项亡羊补牢之举，是针对近期曝光的 SolarWinds 和 Colonial Pipeline 攻击的一个及时回应。

http://hackernews.cc/wp-content/uploads/2021/07/0508508bd8ab0cd-600x381.png

CNBC 指出，SolarWinds 攻击事件让政府机构也受到了波及，而 Colonial Pipeline 攻击事件更是破坏了该国大部分地区的燃料供应。

随着勒索软件攻击的激增，人们已日渐意识到攻击事件信息披露的重要性。然而此前的问题是，联邦法律并未提出硬性要求。

基于此，遭遇网络攻击的相关企业普遍倾向于将事情藏着掖着，直至事态发展到已无法再隐瞒，但付出的代价也相当高昂。

以软件巨头微软为例，公司总裁布拉德·施密特在参议院听证会上表示，公众之所以知晓微软也受到 SolarWinds 攻击事件的波及，只因 FireEye 在去年 12 月率先披露了此事。

http://hackernews.cc/wp-content/uploads/2021/07/774b7b2c40a3b86-600x321.jpg

FireEye 首席执行官 Kevin Mandia 在听证会期间接受 CNBC 的 Eamon Javers 采访时称，信息披露是一个该死且复杂的问题。

为化解这一尴尬的局面，拟议的新法案将引入一项新的披露要求 —— 包括联邦机构、承包商、关键基础设施公司在内，都必须在发现其系统遭到破坏时，向国土安全部进行通报。

与此同时，法案还赋予了这些企业在报告违规行为时可获得的有限豁免 —— 比如股票投资者无法拿到披露信息、并将之用于诉讼的证据，此外国土安全部需要对个人身份信息进行匿名化处理。

基于此，企业能够更加高效地通报相关攻击事件，并允许政府在需要时采取及时有效的行动。

（消息及封面来源：cnBeta）