据CNBC报道，美国政府于周三（当地时间7月21日）公布了一项新法案，该法案将要求一些公司在遭受黑客攻击时告知政府。

美国两党共同制定的《网络事件通知法案》（Cyber Incident Notification Act）是对最近对SolarWinds和Colonial Pipeline遭受网络攻击的回应，SolarWinds和Colonial Pipeline受到的攻击影响了政府机构，扰乱了美国人在大片地区获得燃料的渠道。从那时起，勒索软件的攻击事件激增，黑客不断对文件进行加密，直到受害者支付赎金。

问题是，根据联邦法律，公司不必报告这些事件。这意味着一些事件可能在政府不知情的情况下发生，如果政府自己的系统遭受攻击事件的波及，这可能会产生严重的影响。

该法案提出了一项新的披露要求，要求联邦机构、联邦承包商和关键基础设施公司在发现其系统出现漏洞时，必须通知国土安全部。该法案还规定，当这些公司报告泄密事件时，他们被赋予有限的豁免权。例如，股东无法获得被披露的信息作为诉讼的证据，并要求国土安全部对个人身份信息进行匿名化。通过这种方式，公司可以快速报告事件，并让政府在需要时有效地采取行动。

参议院情报特别委员会主席、弗吉尼亚州民主党人马克·沃纳（Mark Warner）、佛罗里达州共和党副主席马可·鲁比奥（Marco Rubio），以及缅因州共和党高级议员苏珊·柯林斯（Susan Collins）领导了这项立法，回应了他们在早些时候就SolarWinds攻击事件举行的听证会上听到的担忧。

在听证会上，微软总裁布拉德·史密斯（Brad Smith）作证说，政府和公众知道这一事件的唯一原因是，网络安全公司FireEye在去年12月报告了它认为是有相关国家支持的对其系统的攻击事件。在那次披露之后，路透社报道了一起潜在的、与对手有关联的黑客通过SolarWinds软件更新侵入美国机构的事件。消息人士后来告诉路透社，SolarWinds受攻击事件与FireEye事件有关。

这一事件向国会议员们展示了，在政府遭遇重大黑客攻击事件时，他们是多么容易被蒙在鼓里。它还揭示了公司在决定是否报告网络攻击时面临的障碍。

FireEye首席执行官凯文·曼迪亚（Kevin Mandia）在听证会上接受CNBC的埃蒙·贾弗斯（Eamon Javers）采访时表示，披露信息是“一个该死的复杂问题”。

曼迪亚说：“这是一个复杂的问题，是因为公司在公开披露信息时面临着各种责任。他们或许会面临股东的诉讼，他们要考虑很多商业影响。公司也不想制造很多不必要的恐惧、不确定性和疑虑。”

新法案旨在通过引入有限责任保护来缓解企业的这种担忧。今年6月，沃纳对这项法案进行了讨论，他说他相信商界会接受它。

他当时表示：“六、七年前我们进行这场辩论时，商界不希望有任何额外的强制性报告。我认为他们现在意识到，如果不强制报告，他们自己就会处于危险之中。”