美国拟立法加强联邦网络安全措施并实施强制性漏洞披露政策

美国参议院提出了一项新的两党法案，旨在确保联邦承包商遵守美国国家标准与技术研究所 (NIST) 制定的准则，从而加强联邦网络安全。此举要求在联邦承包商中实施漏洞披露政策，并正式规定接受、评估和管理漏洞披露报告的行动，以帮助减少这些承包商中已知的安全漏洞。

该法案名为《2024 年联邦承包商网络安全漏洞削减法案》，要求管理和预算办公室 (OMB) 监督《联邦采购条例》(FAR) 的更新，以确保联邦承包商实施的漏洞披露政策与联邦机构已经要求的政策一致。该法案还要求国防部长监督《国防联邦采购条例补充》(DFARS) 合同要求的更新，以确保国防承包商实施相同的要求。

《2024 年联邦承包商网络安全漏洞削减法案》由参议员马克·R·沃纳（弗吉尼亚州民主党人、参议院情报特别委员会主席）和詹姆斯·兰克福德（俄克拉荷马州共和党人、参议院国土安全和政府事务委员会成员）共同提出，这是沃纳为减轻潜在网络安全攻击造成的损害而采取的最新措施。

去年 8 月，众议院提出了一项配套法案——漏洞披露政策（VDPs），该法案由众议员Nancy Mace发起，要求联邦承包商也采用与联邦机构一致的漏洞披露政策，推动CISA的漏洞披露政策平台应用取得进展。

漏洞披露政策 (VDP) 为组织提供了一种接收其软件中未经请求的漏洞报告的方法，以便在攻击发生之前对其进行修补。通过制定这些政策，公开定义他们将如何接受、评估和管理漏洞披露报告，可以鼓励和鼓励善意的研究人员在漏洞被恶意行为者利用之前负责任地报告漏洞。接收有关信息系统中可疑安全漏洞的报告是开发人员和服务人员了解问题的最佳方式之一。 

目前，民事联邦机构必须制定漏洞披露政策，但联邦承包商（无论是民事还是国防）无需制定用于履行合同的信息系统的漏洞披露政策。通过要求承包商建立 VDP，诚信的安全研究人员可以直接向承包商报告已发现的漏洞，而无需向联邦机构进行任何额外报告。 

沃纳参议员在一份媒体声明中表示: “VDP 是主动识别和解决软件漏洞的重要工具。这项立法将确保联邦承包商以及联邦机构遵守国家指导方针，从而更好地保护我们的关键基础设施和敏感数据免受潜在攻击。”

兰克福德参议员表示：“联邦机构和承包商必须迅速意识到网络漏洞，以便他们能够解决这些漏洞。通过加强网络安全工作，承包商和机构可以专注于为美国人民服务，并确保数据和系统免受网络犯罪和黑客攻击。”

Palo Alto Networks执行副总裁兼总法律顾问 Bruce Byrd 表示：“Palo Alto Networks 对 Warner 参议员通过《联邦网络安全漏洞削减法案》持续提升联邦网络弹性的努力表示赞赏。该法案得到了两党的大力支持，并将使整个网络安全生态系统受益。” 

HackerOne 首席法律和政策官Ilona Cohen 表示，该法案填补了美国网络安全保护的一个关键空白。这种主动的安全方法将确保企业积极保护政府系统、关键基础设施和敏感数据，防止恶意行为者利用。

根据 CISA 约束性操作指令，所有民事联邦机构都必须拥有 VDP 才能完成此任务。但是，目前联邦政府尚未要求联邦承包商（无论是民事承包商还是国防承包商）拥有用于履行合同的信息系统的 VDP。 

如果没有漏洞披露政策，有意报告漏洞以保护公众的安全研究人员可能现在不知道如何报告发现的漏洞，并且如果这样做太困难，他们可能会选择不报告；相信漏洞会被修复，这可能会导致他们进行不协调的公开披露，以促使漏洞得到修复，从而使组织在没有时间修补漏洞的情况下受到攻击；以及报告漏洞时担心会受到法律制裁。

该立法规定，如果机构的首席信息官认定，为了国家安全或研究目的，有必要放弃安全漏洞披露政策要求，则可放弃该要求；并在批准放弃后的 30 天内，向参议院国土安全和政府事务委员会以及众议院监督和问责委员会提交通知和理由，包括关于放弃期限的信息。

此外，该法案还规定，国防部首席信息官可以放弃安全漏洞披露政策要求，如果该官员认为放弃对于国家安全或研究目的是必要的；并且在不迟于授予豁免后30天，向参议院军事委员会和众议院军事委员会提交通知和理由，包括有关豁免期限的信息。

作为参议院情报特设委员会主席，华纳参议员还与他人共同起草了一项立法，要求负责美国关键基础设施的公司向政府报告网络安全事件。该法案于 2022 年 3 月作为《综合拨款法案》的一部分由美国总统拜登签署成为法律。