发布时间:2021-03-17 12:12:51,来源:互联网安全内参
在过去两年,美国国会的立法者们只将一份提到“勒索软件”的法案签署为法律。
与之形成鲜明对应的是,勒索软件攻击的态势没有任何减弱的迹象。事实上,随着美国各地有更多受害者因勒索软件攻击而承受重大损失,可以预见未来两年之内立法层面必然、也必须迎来一波实质行动。
中间偏左翼智库Third Way的国家安全项目高级政策顾问Michael Garcia表示,“我认为关于勒索软件攻击的立法将成为关注焦点。无论是否公开,几乎每个国会选区都曾遭遇过某种勒索软件的攻击。这一点从受到攻击影响的医院及学校数量上,就已经得到证明。”
在最近一起网络事件中,密西西比州某公立学校透露称,他们向勒索软件攻击方支付了30万美元赎金。而另一家美国医疗企业全民健康服务(UHS)表示,受勒索事件影响,该公司损失达6700万美元。
美国众议院国土安全委员会已经将勒索软件放在网络安全战线的第二位。目前,该委员会正优先考虑提出一项面向各州及地方政府的网络安全补助金法案,此举有望帮助各市政机构更有力地对抗勒索软件攻击。除此之外,一位小组研讨助理还提到,此项计划“若能得到参议院的支持,未来还将进一步针对勒索软件制定抵御措施。”
纽约州共和党众议员John Katko表示,他希望能够在两党之间取得共识,努力促进国土安全部下辖的网络安全与基础设施安全局(CISA)参与到这场对抗勒索软件的斗争当中。
他解释道,“保证CISA拥有打击勒索软件攻击所需要的资源、人力与权利,将直接决定这场对抗勒索、乃至抵御其他网络攻击之战的结局。”
在参议院方面,国土安全委员会主席Gary Peters从去年开始就在筹划重新提出三项法案,希望为各州及地方政府、小型企业以及K-12阶段学校提供网络攻击方面的一般性协助。委员会的一位助理还表示,这些法案亦有望协助抵御勒索软件攻击。
而领导国土安全新兴威胁与支出监督小组委员会的参议员Maggie Hassan也提出了立法及其他听证计划,希望为拜登政府出台的勒索软件抵御政策提供配合。
来自新罕布什尔州的民主党人Hassan认为,“这些努力将有助于全面预防并缓解网络威胁带来的影响,包括在疫情期间针对当地学校、企业及医院发动的高破坏性勒索软件攻击。”
已达成目标,与未达成目标
在上一届国会中,共有11项法案提到了勒索软件。
最终唯一得到通过的,是体量庞大的年度国防政策法案,其中包括Hassan提出的在各州设立网络安全协调员职务的立法建议。根据该法案,这些协调员的工作内容包括“支持运营培训、演习与规划的连续性,加快机构从网络安全事件(包括勒索软件攻击)当中的恢复速度。”
其他几份未能通过的提案包括:一项法案要求司法部整理一份报告,评估勒索软件及其他类型的网络欺诈活动给美国公民造成的经济损失。还有一些提案在文本的“调查结果”部分提到了勒索软件威胁,用于解释另一项立法提议的动机。
Garcia表示,在某种程度上,国会方面似乎还没搞清楚该如何针对勒索软件进行立法。就目前来看,有望在国会上通过的不少网络安全法案都或多或少涉及勒索软件,但只将其视为常规威胁类型之一。
一些州立法机构已经为国会的勒索软件应对路线指出了可行方向,例如制定专门处理勒索软件攻击的刑事处罚法条,或者禁止某些特定类别的受害者向勒索攻击方支付赎金等。
而在众议院国土安全小组的专项预算等提案中,体现的则是更为传统的处理思路——即由国会回应各州及地方一级政府的申请,将勒索软件威胁的应对机制纳入更为广泛的网络威胁解决方案当中。
亚特兰大市长Keisha Bottoms曾在2019年关于勒索软件的听证会上表示,该市一年之前亲身经历了一轮勒索软件攻击,并造成数百万美元的损失。如果能够获得联邦政府的额外拨款,“不仅可以加快响应与恢复速度,同时也能降低被迫支付赎金的几率,最终削弱攻击者将地方政府设为目标的意愿。”
全国县级协会首席信息官Rita Reynolds表示,该协会正在向国会方面施压,要求向各县级政府提供更直接、更灵活的网络与IT资金,而不再将资金单纯交由州一级政府管理。该协会及其他代表地方政府的全国性组织也将在未来几个月内发布一系列其他提案,向国会申请建立起统一的网络事件应对策略。
由国会建立的网络空间日光浴委员会之前曾就网络犯罪问题提出一系列建议,这类提议同样有可能在本届国会上再次亮相。例如,该委员会曾于2018年敦促立法者通过法案中的特定条款,要求向检察官提供更多工具以打击僵尸网络(被用于部署勒索软件)。
美国最大的商业游说团体美国商会也有意推动国会通过相关提案。
美国商会网络安全政策兼网络、智能、供应链安全部门副总裁Matthew Eggers表示,“我们同意网络空间日光浴委员会发出的呼吁,即应该主动出击对抗网络犯罪与勒索软件攻击,阻遏其利用他人及组织的隐私获取非法利益。我们将继续与各委员会、立法者及其他政策制定方开展合作,探讨如何审慎地向勒索软件攻击及相关网络犯罪活动发起反击。”
当然,国会可能还需要完成一系列准备,才能真正加大对勒索软件的管控力度。
Garcia表示,今年以来,立法者们一直忙于处理其他事务,例如弹劾前任总统特朗普以及审计拜登政府的人员提名清单。此外,SolarWinds大规模违规事件也占据了议员们在网络安全方面的大部分注意力。
但与Garcia一样,Reynolds也对国会就勒索软件攻击采取行动的前景抱乐观态度。
Reynolds总结道,“我一直保持乐观,甚至对前景感到更加乐观。新冠疫情的爆发相当于催化剂,与各类重大安全违规事件耦合起来造成了巨大破坏。因此我认为当下正是采取行动,以统一且可持续的方式打击勒索软件的好时机。”
参考链接:
https://www.cyberscoop.com/congress-ransomware-hackers-hospitals-law-2021/
封面为2019年7月28日,亚特兰大市中心夜景。就在一年之前,这座城市刚刚经历一场重大勒索软件攻击。