美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。
新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。
据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。
通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。
Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。
通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。
我们深知瞒报将让所有人都陷于风险之中,这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。
据悉,这项倡议的公布时间,恰逢加密货币执法团队的成立,以期处理复杂调查和滥用加密货币的刑事案件。
本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。