在9月23日美國參議院國土安全與政府事務委員會討論安全威脅的聽證會上，網絡安全高管們集體呼吁建立關基企業上報黑客事件制度，并對拒不遵守規定的企業處以罰款；

　　美國網絡安全與基礎設施安全局長Jen Easterly、聯邦政府首席信息安全官Chris DeRusha以及國家網絡總監Chris Inglis均支持這一倡議。

　　9月23日，美國高級網絡官員敦促國會加大力度，要求一切關鍵基礎設施運營商及時披露黑客事件，呼吁在違規事件發生后縮短報告時間窗口，并對拒不遵守規定的企業處以罰款。

　　安全專家們表示，此類授權能夠幫助聯邦政府機關與關鍵經濟部門有效應對安全事件。但也有部分企業和立法者對拜登政府提出的這種更嚴格的監管與潛在處罰制度持謹慎態度。

　　美國網絡安全高官集體呼吁

　　制定關基企業上報黑客事件制度

　　網絡安全與基礎設施安全局長Jen Easterly上周四表示，黑客攻擊事件披露的速度越快，政府官員分析數據的時機就越早，并有助于發現其他潛在攻擊目標。

　　Easterly女士在美國參議院國土安全與政府事務委員會的安全威脅聽證會上表示，“為此，各方必須及時上報網絡安全事件，最好是在發現問題的24個小時以內。”

　　在此次聽證會上，Easterly女士、聯邦政府首席信息安全官Chris DeRusha以及國家網絡總監Chris Inglis還共同呼吁，對違反此類規定的企業施以經濟處罰。

　　Inglis強調，“我們并不想讓受害者們承受額外壓力，但這些信息對于全社會的整體福祉確實至關重要。”

　　這些聲明表明，拜登政府認為積極執法是實現潛在黑客事件報告制度的關鍵。過去十年來，由于私營企業的強烈抵制，國會一直沒能通過這方面的制度，只有各州結合自身情況要求企業披露涉及個人信息泄露的違規事件。金融服務等受監管行業則制定了專門的行業規定，要求企業上報黑客事件。

　　時至今日，針對作為美國經濟體系基石的關鍵基礎設施運營商的黑客事件上報，仍然缺乏聯邦政府層面的報告標準。

　　最晚上報時間存爭議：

　　24小時 vs 72小時

　　最近幾個月來，針對聯邦機構與關鍵基礎設施運營商的一連串網絡攻擊為立法注入了新的動力。部分企業及對商業部門較為關注的立法者開始認為，有必要制定相應規則。游說者們則推動立法者放寬要求，包括將上報時間窗口寬延至72個小時，表示上報周期過短可能分散企業用于應對攻擊事件的資源，并導致政府被大量未經篩選的上報數據瞬間吞沒。

　　雖然形勢一片向好，但近幾個月來國會提案在事件報告的實際廣度與執行方式等問題上仍然存在分歧。

　　今年7月公布的一項參議院法案提案，為相關企業設立24個小時的上報窗口，并允許網絡與基礎設施安全局對超出規定時間的企業處以每天相當于上年收入0.5%的罰款。眾議院一項法案草案則計劃授予網絡與基礎設施安全局對72小時仍未上報安全事件的企業進行傳喚，但不施以罰款。一位助理人員表示，眾議院立法者也考慮過罰款問題，不過最終認為罰款只會令網絡與基礎設施安全局與企業的關系進一步惡化，反而不利于及時獲取威脅信息。

　　Easterly上周四還表示，在違規事件發生后的24小時內披露信息，能幫助網絡與基礎設施安全局快速跟進。如果上報時間窗口過短很可能降低信息質量。

　　她強調，“我們需要的是信號，而不是錯誤的噪聲。”

　　就在這次聽證會的前一天，美國政府剛剛發布能源與交通等關鍵基礎設施行業企業如何加強網絡防御的最新指南。指南包含網絡風險評估、對威脅進行持續監控，以及對計算機網絡內的所有軟件與硬件進行記錄備案。

　　美國官員表示，考慮到圍繞關鍵基礎設施出現的網絡攻擊正愈演愈烈，很可能需要出臺更多強制性法規予以管控。例如，今年5月黑客破壞東海岸最大的油氣管道運營商，6天之后運輸安全管理局隨即公布新政策。官員們強調，新規定要求管道運營商在12小時內上報黑客事件，否則可能面臨每天7000美元的罰款。

　　企業方則對巨額罰款持謹慎態度。

　　總部位于華盛頓的科技企業貿易協會信息技術行業委員會政策高級副總裁兼總法律顧問John Miller表示，施加處罰可能導致企業只關注如何避免罰款，而無心思考如何制定網絡安全最佳實踐以建立合規性計劃。

　　Miller說，“懲罰措施往往適得其反，甚至有礙于目前私營部門與政府之間的伙伴關系。”