美国司法部表示,如果联邦承包商未能如实报告网络攻击或数据泄露,他们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 为参照现行虚假申报法案,提出了民事网络欺诈倡议(FCA)调查与政府承包商和资助接受者有关的网络安全欺诈行为。
新闻稿指出,该倡议将允许个人或联邦承包商和其他实体在故意提供有缺陷的网络安全产品或服务时承担责任,导致美国网络技术设施面临风险。与此同时,政府承包商将面临违反监控和报告网络安全事件和数据泄露的处罚。
据报道,这是美国政府对联邦机构(包括财政部、国务院和土地安全部)的一系列黑客攻击做出的最新回应。此前有调查称,海外间谍活动影响 SolarWinds 网络,使其 Orion 软件植入后门,通过受污染的软件更新渠道推送到客户网络。
通过政策法规“亡羊补牢”,美国司法部希望建立适用于所有公共部门、广泛和灵活的网络安全入侵措施,并帮助政府识别、创建和披露常用产品或服务的漏洞补丁。如果相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。
Lisa O. Monaco 解释说,长期以来,企业一直错误地认为隐瞒的风险小于主动披露违规行为,但目前的环境却大不相同。
通过今天宣布的倡议,我们将使用民事执法工具来追踪那些不遵守网络安全标准的企业,特别是接受联邦资助的政府承包商。
我们知道隐瞒会让每个人都有风险,这也是我们必须确保适当使用纳税人资金、保护公共财政和维护公众信任的有力工具。
为了处理复杂调查和滥用加密货币的刑事案件,该倡议的发布时间恰逢加密货币执法团队的成立。
本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,强制勒索软件受害者在 48 小时内披露其支付的赎金额。