國會如何協助防範網絡攻擊——《華爾街日報》

國會近期通過了一項聯邦法律，要求企業報告網絡攻擊事件並向聯邦機構共享相關數據。但商界和聯邦執法部門對該法律仍存疑慮，主要問題包括：哪些類型的企業和事件需要上報？此外，重大事件需在72小時內報告——但這72小時究竟從何時開始計算？

美國眾議員伊薇特·克拉克（紐約州民主黨人，該法律制定者之一）近日參加了《華爾街日報》Pro版網絡安全線上論壇。作為國土安全委員會資深成員，克拉克女士接受了《華爾街日報》記者戴維·烏貝蒂的採訪，以下是經過編輯的對話內容。

**《華爾街日報》：**新法律的立法目的是什麼？

**克拉克眾議員：**核心在於與私營部門合作，通過識別該領域的關鍵利益相關方，在網絡安全和基礎設施安全局（CISA）打造一個安全空間，使該機構與企業能夠即時協同處置網絡事件。

這具有多重意義：我們需要研究惡意行為者滲透信息網絡的實際案例，希望運用專業能力預防未來事件，同時避免陷入支付贖金的條件反射式應對模式。

**《華爾街日報》：**聯邦調查局和司法部均表示反對該法律，認為可能妨礙調查工作。司法部與CISA的職責和動機存在差異——前者是調查機構，後者以保護關鍵基礎設施為使命。您如何回應這些擔憂？

**克拉克眾議員：**拜登政府已呼籲採取全政府應對措施來處理威脅國家安全、商業領域及大多數美國人生計的網絡安全事件。網絡安全和基礎設施安全局（CISA）已履行其職責，政府也正在採取必要行動，切實降低私營部門給我們所有人帶來的風險。我們未必在措辭上達成一致，但這不意味着我們無法解決可能出現的分歧。

眾議員伊薇特·克拉克表示"政府正在採取必要行動，切實降低私營部門風險"圖片來源：華爾街日報**華爾街日報：**其他機構已推出規則並提議建立各自的強制報告制度。去年，運輸安全管理局（TSA）針對管道和鐵路企業提出報告重大網絡安全事件的規則。今年，美國證券交易委員會（SEC）提議要求上市公司向該機構報告重大事件。我們是否需要所有這些獨立的報告體系？

**克拉克眾議員：**拜登政府正在尋求全政府協同方案。但關鍵在於，我們每個聯邦機構都必須將CISA視為牽頭機構並與其密切合作。CISA擁有在這一領域真正發揮領導作用的權限。

**華爾街日報：**作為負責監督CISA（網絡安全與基礎設施安全局）的小組委員會主席，您如何看待該機構的未來發展？

**克拉克眾議員：**我和同事們認為，隨着我們深入參與關鍵基礎設施和新興技術領域，CISA將日益強大。他們需要培養專業隊伍，建立專業知識體系，以管理不斷擴大的國土安全、基礎設施和社區防護手段組合。CISA將管理一項10億美元的資助計劃，幫助各市縣州建立更強大的網絡安全態勢和基礎設施。

當前公私部門對網絡安全專業人才的競爭非常激烈。雖然政府永遠無法提供與私營部門同等的薪酬水平，但我們必須確保能全面關注不斷擴張的網絡空間動態。培養網絡安全人才是我們深知至關重要的工作。

**華爾街日報：**您當前的立法重點有哪些？

**克拉克眾議員：**我們已經建立了相當紮實的基礎。但在工業控制系統、運營技術、量子計算等新興技術領域，以及選舉系統和虛假信息等方面仍需加強態勢感知。本月我們計劃舉行多場聽證會，深入調研如何為CISA提供必要權限，以應對所有這些脆弱領域。

**觀眾提問：**您如何看待在去除識別屬性後，將披露收集的情報分享回私營部門，以幫助其更好地進行自我防禦？

**克拉克議員：**網絡安全和基礎設施安全局將成為最佳實踐和案例研究的絕佳存儲庫。重要的是這是一條雙向通道，我們能夠獲取事件信息並將其傳播到各個部門，以便他們能夠保護我們大部分IT和基礎設施所在的私營部門。沒有他們的知識、合作與協作，就會出現漏洞。而這就是惡意行為者滋生的地方。因此，這絕對是一個必要之舉。

關於要求公司報告網絡攻擊並與聯邦當局共享相關數據的法律，仍存在疑問。照片：阿爾·德拉戈/彭博新聞寫信至[email protected]

刊登於2022年6月8日印刷版，標題為《國會如何幫助減少網絡攻擊的可能性》。