logo
繁体
繁体

美国司法部:将对未上报网络攻击事件的承包商处以巨额罚款

据华尔街日报报道,美国司法部将对未能达到其所谓的“必要的网络安全标准”的联邦承包商处以巨额罚款,标准包括披露网络安全漏洞。

Photo by geralt on Pixabay

副司法部长莉萨·莫纳科周三在非营利性研究和政策组织阿斯彭研究所主办的网络安全会议上公布了这项新政策,她说:“长期以来,公司在错误的信念下选择沉默,认为隐藏漏洞比提出和报告漏洞的风险要小。那么,这种情况今天就会改变。”

她说:“如果那些被委托使用政府资金的人,被委托在敏感的政府系统上工作的人没有遵循所要求的网络安全标准,我们将对这种行为进行追究,并收取非常高的、非常高的罚款。”

莫纳科说,司法部将使用《虚假申报法》(FCA)规定的权力,该法针对欺骗美国政府的人或组织,并将包括对举报人的保护。

据司法部称,接受联邦资金的公司如果故意歪曲其防御措施,提供有缺陷的网络安全设备或不报告事件,都在新举措的范围内。

律师事务所Alston & Bird网络安全和政府调查组的合伙人凯伦·德怀尔说,根据内战时期的FCA法律,向政府提交包括虚假信息的资金要求是一种违法行为。

司法部表示,在截至2020年9月30日的财政年度,它根据FCA获得了超过22亿美元的和解和判决,主要涉及在医疗保健领域的违规行为。

德怀尔说,在网络安全领域“积极”使用FCA是拜登政府推动使用行政权力迫使公司报告网络事件并遵守安全标准的一部分,德怀尔曾是司法部国家安全司的副助理检察长,负责处理涉及由国家支持的黑客攻击问题。

德怀尔说,为了使FCA在这些情况下发挥最大效力,公司和联邦机构之间的合同可以要求,例如,公司提交发票并证明它遵守了网络安全要求。

他说,“每次你提交发票时,你必须包括一个条款,即我们没有发生任何未报告的网络事件。如果你知道你已经发生了事故,那么这就有可能是一个虚假的申报。”

但纽约市教育组织Flatiron School的网络安全教育主任丽莎·麦克林说,FCA等法律是在不同时代制定的,并不是专门为了打击网络犯罪。她说,在不久的将来,可能需要对用于起诉网络安全事项的现有法律权力进行审查,以确保它们适合这一目的。

麦克林说:“需要在确保有某种激励措施让公司避免这些事情,而又不完全毁掉他们的声誉或生计之间取得平衡。”

美国司法部实施此举之际,政府和国会对联邦机构、承包商和关键基础设施运营商如何保护其计算机系统进行越来越多的审查。

5月,拜登发布了一项行政命令,要求联邦机构和那些与政府有业务往来的机构进行各种网络安全整改,包括使用多因素认证。最近几周,众议院和参议院辩论了新的法律,要求某些公司向网络安全和基础设施安全局报告严重的网络安全事件。

此外,美国运输安全管理局今年夏天为管道运营商发布了两套网络安全要求,因为5月份对Colonial管道公司的勒索软件攻击迫使东海岸的主要燃料干线关闭了6天。

软件公司威睿的网络安全战略主管汤姆·凯勒曼说,这些举措和其他减轻网络犯罪影响的行动反映了美国政府将网络安全作为一个国家安全问题来对待,即利用各机构的一系列民事和刑事权力来迫使网络安全发生变化。

凯勒曼表示,美国经济的长期可持续性完全依赖于网络安全。

(今日汇率:1美元=6.45人民币)