当地时间11月4日，美国民主、共和两党参议员组成的小组正准备在即将到来的年度国防授权法案（NDAA）中加入一项条款，该条款将要求某些关键基础设施组织在72小时内向政府报告重大网络事件。当天晚间宣布的这项修正案还将允许关键基础设施组织、非营利组织、州和地方政府以及某些企业在24小时内报告因勒索软件攻击而向黑客支付的款项。在经历了一年不断升级的网络攻击后，有关网络事件和勒索支付赎金都将上报给网络安全和基础设施安全局（CISA），以使监管机构对国家网络安全状况有更大的透明度。

　　修正案是两党妥协的结果

　　该修正案由参议院国土安全和政府事务委员会主席加里·彼得斯（密歇根州民主党）、高级成员罗布·波特曼（俄亥俄州共和党）、参议院情报委员会主席马克·华纳（弗吉尼亚州民主党）和参议员苏珊·柯林斯（缅因州共和党）共同发起。

　　修正案也是两位参议员谈判的结果：彼得斯和波特曼在9月提出了一项立法，提出了72小时的时间表，而华纳、柯林斯和参议院情报委员会（Senate Intelligence Committee）除其他三名成员外，其他所有成员在7月提出了一项单独的法案，列出了24小时的时间表。

　　彼得斯在一份声明中说：“网络攻击和勒索软件攻击是严重的国家安全威胁，影响了从能源部门到联邦政府和美国人自己的敏感个人信息的方方面面。”

　　行业组织反对24小时报告的要求，认为这没有给他们足够的时间来评估事故，并限制报告较少的重大事故。

　　彼得斯认为，该修正案将采取重大步骤加强网络安全保护，确保CISA站在国家应对严重入侵的前沿，最重要的是，要求及时向联邦政府报告这些攻击，以便能更好地防止未来的事件，并追究攻击者的责任。

　　华纳在一份声明中说：“似乎每天美国人一觉醒来都会听到又一场勒索软件攻击或网络入侵的消息，但SolarWinds的黑客事件向我们表明，没有人负责收集这些事件的规模和范围的信息。”“我们不能依靠自愿报告来保护关键基础设施——我们需要一次例行报告要求，因此当我们经济的重要行业受到网络事件影响，联邦政府应调动充足资源应对，避免其影响。”

　　“我很高兴我们能够就这一修正案达成两党妥协，解决这些备受瞩目的黑客事件所引发的许多核心问题，”他补充说。

　　华纳呼吁采取更多行动应对这些威胁，并指出了不断升级的网络事件，包括今年早些时候针对Colonial Pipeline和肉类生产商JBS USA的勒索软件攻击，以及去年的SolarWinds黑客攻击。

　　参阅：24小时内报告网络入侵事件，美议员力推网络安全事件报告立法

　　《联邦信息安全现代化法案》（FISMA）将相应更新

　　该修正案还包括对《联邦信息安全现代化法案》（FISMA）的语言更新，以明确关键机构在应对网络事件中的角色，该法案是基于彼得斯和波特曼上月提出的另一项立法。

　　波特曼在一份声明中说：“这项两党修正案将对FISMA进行重大更新，通过明确职责和要求政府在美国人民的信息被泄露时迅速通知美国人民，为解决联邦网络安全长期存在的弱点提供必要的问责机制。”

　　必须通过的NDAA经常被用来推动其他可能得不到投票的措施。去年的NDAA包括超过24项主要的网络建议，包括在白宫设立国家网络主管职位。

　　缅因州共和党议员柯林斯4日强调，修正案中的报告要求和其他措施对加强国家安全是必要的。柯林斯说：“对国家面临的网络攻击的危险有一个清晰的认识是必要的，这对优先考虑并采取行动来减轻和减少威胁是必要的。”“未能制定强有力的网络事件通知要求，只会让我们的对手有更多机会收集关于我们政府的情报，窃取我们公司的知识产权，并损害我们的关键基础设施。”她说：“我敦促我的同事们通过我们的修正案，这是常识，早就该通过了。”

　　国会支持关键基础设施的强制性网络事件报告

　　据估计，美国的关键基础设施当中85%的是由私人实体控制的，其中许多未能实践基本网络卫生——在11月4日的听证会上，证人告诉众议院议员，对关键基础设施实施强制性网络事件报告要求的时机可能已经成熟。

　　俄勒冈州民主党众议员彼得·德法齐奥（Peter DeFazio）指出，最近对交通部门的一项调查发现，39%的受访者没有任何专门负责网络安全的工作人员，24%的人根本没有对他们的员工进行网络安全培训。

　　他在一个委员会听证会上说，水务部门的情况看起来更糟。今年6月公布的一项调查发现，42%的水务和污水处理公司表示，他们没有对员工进行任何网络安全培训，其中超过68%的公司表示，他们没有参加任何与网络安全相关的训练或演习。

　　更重要的是，他说，联邦调查局估计，只有15%的网络犯罪实际上被报告。

　　德法齐奥说：“由于美国的公共安全和国家经济安全处于危险之中，私营部门的自愿措施可能是时候让位于强制性的联邦报告要求了。”“我们的政府正朝着正确的方向前进。我们需要做得更多。”

　　德法齐奥主席提出了两种解决方案，在听证会上作证的行业专家都认为这两种方案可行。第一：强制要求向联邦政府报告网络事件。第二：在所有关键基础设施组织中都需要配备一名负责网络安全的专职员工。

　　交通、水务等行业的负责人对强制性报告网络事件的做法表示了积极的支持和肯定。关键基础设施行业对事件后的响应和恢复更加关注，期望有一个正确的可落地的报告后的处置措施。比如网络恢复能力有一个强制性的最低标准和基线标准，许多类型的事情——报告、识别、缓解策略——都将开始得到解决。

　　延伸阅读--我国“关基”运营者如何报告网络安全事件？

　　发生网络安全事件后是否要向监管部门报告，确实是一个比较复杂的问题，“关基”企业要在监管、合规要求与企业的财务、声誉损失之间寻求平衡。我国的相关法律法规对“关基”运营者的网络安全事件报告有这样的规定：

　　我国《网络安全法》第二十五条规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

　　《关键信息基础设施安全保护条例》第十八条规定：关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。

　　发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

　　正常情况下理解《条例》中的“应当”，是带有强制性的要求。但在实践中是否真实能落实，还有待细化。即使强制要求报告，报告的内容、时机、时限均不够明确，期待在《条例》的实施细则中能进一步明确。