碎片化監管難以應對重大網絡安全攻擊，制定《國家數據泄露通報法》勢在必行。

　　據近日專家小組在2021 RSA大會上的討論，目前美國還沒有頒布任何關于發現安全漏洞時進行違規事件通報的權威性或國家級法律。但法條的缺失已經引起重視，并有望在不久的未來得到解決。

　　知名律師事務所Debevoise & Plimpton LLP的合伙人Luke Dembosky稱，美國目前的網絡違規事件通報工作主要遵循法律及政策中的某些碎片化方針，而且具體要求也隨司法管轄區的不同而存在巨大差異。他指出，目前全美各州在發生數據泄露事件時是否需要向州當局及受影響個人發布通報方面，都有著自己的一套管理規則。

　　Dembosky表示，“這樣的現狀給跨州開展業務的公司造成了巨大困擾，迫使他們需要逐一弄清各個州到底該遵循哪些違規事件通報義務。”

　　SolarWind事件或將催生

　　首部國家數據泄露通報法

　　美國司法部國家安全局副檢察長Adam Hickey指出，近年來發生了一系列引人注目的安全違規事件，并給多個行業的關鍵基礎設施造成嚴重沖擊。如果沒有一套統一的通報框架，聯邦政府就無法隨時獲取所有必要數據與分析結論。

　　Hickey表示，“目前，我們還很難準確掌握安全事件中的詳盡細節。”

　　專家小組還就近期備受矚目的SolarWinds安全違規事件進行了探討。聯邦調查局副局長Tonya Ugoretz評論稱，像國家數據泄露通報法這樣的法令之所以遲遲不能出臺，往往就是因為缺少有份量、影響廣泛的“大事件”。而SolarWinds顯然打破了一片寂靜，為這方面立法敲響了必要性的警鐘。

　　Ugoretz表示，SolarWinds事件是由安全廠商FireEye率先發現并上報的，而后者自己也成為此次違規的受害者。

　　“FireEye公司做出了正確的反應。他們幾乎立刻就注意到了攻擊者高超的入侵能力，并馬上與政府方面取得了聯系。”

　　與執法部門合作解決問題，正是彰顯大家嚴肅態度并直面挑戰的最好方式。

　　Adam Hickey

　　她還補充道，雖然快速上報有助于及時發現問題并緩解事件后果，但大部分安全違規案例并沒能被立即曝光。Hickey認為這正是問題的核心所在：正是FireEye迅速行動并坦率承認問題的存在，聯邦政府才得以介入調查并做出響應，最終限制了風險的進一步蔓延。

　　為什么需要國家數據泄露通報法

　　Hickey強調，必須制定國家數據泄露通報法以幫助執法機構快速了解案情，并發布指導信息以保護潛在受害者。

　　Hickey還指出，出于種種現實原因，企業如今要比以往任何時候都更愿意聯系政府并配合執法部門的工作。

　　Hickey解釋稱，“過去，很多企業把數據泄露看成是家丑，總是不愿對外宣揚。但現在，人們開始意識到自己的遭遇已經成為整個計算機網絡的一部分，如果不積極應對很可能引發毀滅性的后果。”

　　Hickey認為，在意識到數據泄露事件之后，組織關注的不僅是立即防御、同時也會考慮如何建立安全彈性和維護自身聲譽。

　　“在這種情況下，與執法部門合作解決問題，正是彰顯大家嚴肅態度并直面挑戰的最好方式。”

　　國家網絡違規通報法的基本方針

　　目前，各專家小組成員已經就國家網絡違規通報法的一項核心目標達到共識，即必須降低違規通報行為的執行難度，至少要低于目前拼湊法律與政策碎片的方式。

　　Ugoretz強調稱，就違規事件發布明確的國家標準將幫助企業清晰理解自己需要披露哪些信息，在猛烈的網絡攻勢之下減少通報帶來的額外負擔。她希望這部法律能夠幫助受害者及執法人員迅速了解當前事態，并據此防止問題的進一步擴散。

　　Ugoretz最后總結道，“網絡攻擊活動就像是連環殺手犯下的謀殺案，一次攻擊之后必須跟著下一次攻擊。好在對方總會在犯罪現場留下線索，而新的通報法將幫助我們解析這些線索，搶在兇手再次犯案之前提醒潛在的受害者們保護好自己。”