拟议的两党法案将要求公司在遭到黑客攻击时通知美国政府，并在报告后为公司提供有限的豁免权

周三公布的一项新法案将使一些公司在被黑客入侵时通知政府。 “网络事件通知法”是对最近对 SolarWinds 和 Colonial Pipeline 的攻击的回应。周三公布的一项新法案将要求一些公司在遭到黑客攻击时通知政府。两党共同制定的《网络事件通知法》是对最近对 SolarWinds 和殖民管道的攻击的回应，该攻击影响了政府机构，而 Colonial Pipeline 则中断了该国大部分地区的燃料供应。从那时起，勒索软件攻击（黑客对文件进行加密直到受害者支付赎金）激增。问题是，根据联邦法律，公司不必报告这些攻击。这意味着某些攻击可能会在政府不知情的情况下发生，如果政府自己的系统受到黑客攻击的影响，这可能会产生严重影响。拟议的法案将引入一项新的披露要求，要求联邦机构、联邦承包商和关键基础设施公司在发现其系统遭到破坏时通知国土安全部。它还赋予这些公司在报告违规行为时有限的豁免权——例如，股东无法获得披露的信息以在诉讼中用作证据。它还需要国土安全部对个人身份信息进行匿名处理。这样，公司可以快速报告事件，并允许政府在需要时有效地采取行动。参议院情报特别委员会主席马克华纳（弗吉尼亚州）、副主席马可卢比奥（佛罗里达州）和高级成员苏珊柯林斯（缅因州）领导了这项立法，该立法回应了他们在早些时候的听证会上听到的关于SolarWinds 攻击。

在听证会上，微软总裁布拉德史密斯作证说，政府和公众知道这次黑客攻击的唯一原因是因为网络安全公司 FireEye 在 12 月报告了它认为是国家支持的对其自身系统的攻击。在那次披露之后，路透社报道了通过 SolarWinds 软件更新对美国机构的潜在攻击。消息人士后来告诉路透社，这次袭击与 FireEye 入侵有关。这次攻击向立法者展示了他们很容易被重大政府黑客攻击而蒙在鼓里。它还揭示了公司在决定是否报告网络攻击时面临的障碍。 FireEye 首席执行官凯文·曼迪亚 (Kevin Mandia) 在听证会上接受 CNBC 的 Eamon Javers 采访时表示，披露是“一个该死的复杂问题”。 “这是一个复杂问题的原因是因为公司在公开披露信息时面临的所有责任，”曼迪亚说。 “他们有股东诉讼，他们有很多对业务影响的考虑。你也不想不必要地制造很多恐惧、不确定性和怀疑。”新法案旨在通过引入有限责任保护来缓解企业的这种担忧。当华纳在 6 月份取笑立法时，他说他相信商界会接受它。 “当我们在六七年前进行这场辩论时，商界并不想要任何额外的强制性报告，”他当时表示。 “我认为他们现在意识到，如果没有强制报告，他们自己就会处于危险之中。”