美國聯(lián)邦政府前首席信息安全官Grant Schneider說，“隨著在烏克蘭發(fā)生的一切，我認(rèn)為人們有更多的動(dòng)機(jī)通過一些立法。任何人都很難對特定條款的細(xì)微差別掉以輕心?！?/p>

Schneider現(xiàn)在是Venable律師事務(wù)所網(wǎng)絡(luò)安全服務(wù)的高級主管，他對美國眾議院通過《加強(qiáng)美國網(wǎng)絡(luò)安全法案》的舉措發(fā)表了評論。美國參議院在3月1日一致通過了該法案。

美國參議院通過的立法結(jié)合了三項(xiàng)先前以類似形式通過美國眾議院或正在這樣做的法案。

該法案中最值得關(guān)注的條款是，要求私營部門關(guān)鍵基礎(chǔ)設(shè)施實(shí)體在72小時(shí)內(nèi)向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局報(bào)告遭遇網(wǎng)絡(luò)安全事件，其中包括勒索軟件攻擊。這些實(shí)體在支付勒索軟件贖金之前必須在24小時(shí)內(nèi)報(bào)告。議員們表示，美國眾議院在去年通過了一項(xiàng)類似的法案，但由于時(shí)間限制，美國參議院未能完全實(shí)現(xiàn)他們的目標(biāo)。美國聯(lián)邦調(diào)查局也表達(dá)了對該法案將他們排除在事件報(bào)告之外的擔(dān)憂。

《加強(qiáng)美國網(wǎng)絡(luò)安全法案》還包括編纂和資助美國總務(wù)管理局計(jì)劃的規(guī)定，以通過獨(dú)立的第三方審計(jì)來證明美國政府云計(jì)算服務(wù)提供商的安全性。根據(jù)2019年美國政府問責(zé)辦公室(GSA)的報(bào)告，大多數(shù)機(jī)構(gòu)在與云計(jì)算供應(yīng)商簽訂合同之前，通常沒有通過美國政府問責(zé)辦公室(GSA)的聯(lián)邦風(fēng)險(xiǎn)授權(quán)管理計(jì)劃(FedRAMP)。美國眾議院已經(jīng)多次通過類似措辭的FedRAMP編纂立法。

最后，美國參議院日前通過的法案包括更新2014年《聯(lián)邦信息安全現(xiàn)代化法案》的冗長條款。其中大部分條款——包括為報(bào)告目的重新定義“重大事件”的條款，這都反映在紐約州民主黨眾議員Carolyn Maloney最近在美國眾議院提出的立法中，雖然有一些顯著的差異。

美國眾議院法案要求承認(rèn)聯(lián)邦首席信息安全官的權(quán)威，并要求該官員有權(quán)制定機(jī)構(gòu)的網(wǎng)絡(luò)安全預(yù)算。來自美國國土安全和政府事務(wù)委員會(huì)的參議院法案并沒有提到這一點(diǎn)，而聯(lián)邦首席信息安全官仍在美國管理和預(yù)算辦公室(OMB)之外運(yùn)作。

Maloney對在聯(lián)邦網(wǎng)絡(luò)中存在風(fēng)險(xiǎn)特別警惕。她說，“我對美國參議院通過了《加強(qiáng)美國網(wǎng)絡(luò)安全法案》表示祝賀，其中包含《聯(lián)邦信息安全現(xiàn)代化法案》——這是我們的首要立法優(yōu)先事項(xiàng)之一?！?/p>

她補(bǔ)充說：“美國監(jiān)督和改革委員會(huì)于2022年開始了兩黨聽證會(huì)，以研究如何最好地實(shí)現(xiàn)《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的現(xiàn)代化，我們期待著在這項(xiàng)工作通過立法程序的過程中吸取這些重要的經(jīng)驗(yàn)教訓(xùn)?！堵?lián)邦信息安全現(xiàn)代化法案》(FISMA)的改革將決定我們未來幾年的聯(lián)邦網(wǎng)絡(luò)安全態(tài)勢，最終法案必須抓住每一個(gè)機(jī)會(huì)來保護(hù)聯(lián)邦網(wǎng)絡(luò)免受每天面臨網(wǎng)絡(luò)攻擊的影響。我們共同致力于實(shí)現(xiàn)這一目標(biāo)，并確信我們很快就會(huì)成功地將這項(xiàng)法案提交給總統(tǒng)?！?/p>