碎片化監(jiān)管難以應(yīng)對(duì)重大網(wǎng)絡(luò)安全攻擊，制定《國(guó)家數(shù)據(jù)泄露通報(bào)法》勢(shì)在必行。

　　據(jù)近日專家小組在2021 RSA大會(huì)上的討論，目前美國(guó)還沒(méi)有頒布任何關(guān)于發(fā)現(xiàn)安全漏洞時(shí)進(jìn)行違規(guī)事件通報(bào)的權(quán)威性或國(guó)家級(jí)法律。但法條的缺失已經(jīng)引起重視，并有望在不久的未來(lái)得到解決。

　　知名律師事務(wù)所Debevoise & Plimpton LLP的合伙人Luke Dembosky稱，美國(guó)目前的網(wǎng)絡(luò)違規(guī)事件通報(bào)工作主要遵循法律及政策中的某些碎片化方針，而且具體要求也隨司法管轄區(qū)的不同而存在巨大差異。他指出，目前全美各州在發(fā)生數(shù)據(jù)泄露事件時(shí)是否需要向州當(dāng)局及受影響個(gè)人發(fā)布通報(bào)方面，都有著自己的一套管理規(guī)則。

　　Dembosky表示，“這樣的現(xiàn)狀給跨州開(kāi)展業(yè)務(wù)的公司造成了巨大困擾，迫使他們需要逐一弄清各個(gè)州到底該遵循哪些違規(guī)事件通報(bào)義務(wù)。”

　　SolarWind事件或?qū)⒋呱?/p>

　　首部國(guó)家數(shù)據(jù)泄露通報(bào)法

　　美國(guó)司法部國(guó)家安全局副檢察長(zhǎng)Adam Hickey指出，近年來(lái)發(fā)生了一系列引人注目的安全違規(guī)事件，并給多個(gè)行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施造成嚴(yán)重沖擊。如果沒(méi)有一套統(tǒng)一的通報(bào)框架，聯(lián)邦政府就無(wú)法隨時(shí)獲取所有必要數(shù)據(jù)與分析結(jié)論。

　　Hickey表示，“目前，我們還很難準(zhǔn)確掌握安全事件中的詳盡細(xì)節(jié)。”

　　專家小組還就近期備受矚目的SolarWinds安全違規(guī)事件進(jìn)行了探討。聯(lián)邦調(diào)查局副局長(zhǎng)Tonya Ugoretz評(píng)論稱，像國(guó)家數(shù)據(jù)泄露通報(bào)法這樣的法令之所以遲遲不能出臺(tái)，往往就是因?yàn)槿鄙儆蟹萘俊⒂绊憦V泛的“大事件”。而SolarWinds顯然打破了一片寂靜，為這方面立法敲響了必要性的警鐘。

　　Ugoretz表示，SolarWinds事件是由安全廠商FireEye率先發(fā)現(xiàn)并上報(bào)的，而后者自己也成為此次違規(guī)的受害者。

　　“FireEye公司做出了正確的反應(yīng)。他們幾乎立刻就注意到了攻擊者高超的入侵能力，并馬上與政府方面取得了聯(lián)系。”

　　與執(zhí)法部門合作解決問(wèn)題，正是彰顯大家嚴(yán)肅態(tài)度并直面挑戰(zhàn)的最好方式。

　　Adam Hickey

　　她還補(bǔ)充道，雖然快速上報(bào)有助于及時(shí)發(fā)現(xiàn)問(wèn)題并緩解事件后果，但大部分安全違規(guī)案例并沒(méi)能被立即曝光。Hickey認(rèn)為這正是問(wèn)題的核心所在：正是FireEye迅速行動(dòng)并坦率承認(rèn)問(wèn)題的存在，聯(lián)邦政府才得以介入調(diào)查并做出響應(yīng)，最終限制了風(fēng)險(xiǎn)的進(jìn)一步蔓延。

　　為什么需要國(guó)家數(shù)據(jù)泄露通報(bào)法

　　Hickey強(qiáng)調(diào)，必須制定國(guó)家數(shù)據(jù)泄露通報(bào)法以幫助執(zhí)法機(jī)構(gòu)快速了解案情，并發(fā)布指導(dǎo)信息以保護(hù)潛在受害者。

　　Hickey還指出，出于種種現(xiàn)實(shí)原因，企業(yè)如今要比以往任何時(shí)候都更愿意聯(lián)系政府并配合執(zhí)法部門的工作。

　　Hickey解釋稱，“過(guò)去，很多企業(yè)把數(shù)據(jù)泄露看成是家丑，總是不愿對(duì)外宣揚(yáng)。但現(xiàn)在，人們開(kāi)始意識(shí)到自己的遭遇已經(jīng)成為整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的一部分，如果不積極應(yīng)對(duì)很可能引發(fā)毀滅性的后果。”

　　Hickey認(rèn)為，在意識(shí)到數(shù)據(jù)泄露事件之后，組織關(guān)注的不僅是立即防御、同時(shí)也會(huì)考慮如何建立安全彈性和維護(hù)自身聲譽(yù)。

　　“在這種情況下，與執(zhí)法部門合作解決問(wèn)題，正是彰顯大家嚴(yán)肅態(tài)度并直面挑戰(zhàn)的最好方式。”

　　國(guó)家網(wǎng)絡(luò)違規(guī)通報(bào)法的基本方針

　　目前，各專家小組成員已經(jīng)就國(guó)家網(wǎng)絡(luò)違規(guī)通報(bào)法的一項(xiàng)核心目標(biāo)達(dá)到共識(shí)，即必須降低違規(guī)通報(bào)行為的執(zhí)行難度，至少要低于目前拼湊法律與政策碎片的方式。

　　Ugoretz強(qiáng)調(diào)稱，就違規(guī)事件發(fā)布明確的國(guó)家標(biāo)準(zhǔn)將幫助企業(yè)清晰理解自己需要披露哪些信息，在猛烈的網(wǎng)絡(luò)攻勢(shì)之下減少通報(bào)帶來(lái)的額外負(fù)擔(dān)。她希望這部法律能夠幫助受害者及執(zhí)法人員迅速了解當(dāng)前事態(tài)，并據(jù)此防止問(wèn)題的進(jìn)一步擴(kuò)散。

　　Ugoretz最后總結(jié)道，“網(wǎng)絡(luò)攻擊活動(dòng)就像是連環(huán)殺手犯下的謀殺案，一次攻擊之后必須跟著下一次攻擊。好在對(duì)方總會(huì)在犯罪現(xiàn)場(chǎng)留下線索，而新的通報(bào)法將幫助我們解析這些線索，搶在兇手再次犯案之前提醒潛在的受害者們保護(hù)好自己。”