根据路透社看到的一份草案,拜登政府计划发布的行政命令将要求许多软件供应商在公司出现网络安全漏洞时通知其联邦政府客户。
SolarWinds 标志在其位于美国德克萨斯州奥斯汀的总部外可见
国家安全委员会发言人说,尚未就行政命令的最终内容作出决定。该订单最早可能在下周发布。
去年12月曝光的SolarWinds公司黑客攻击事件表明,"联邦政府需要能够调查和补救对美国人民早期和迅速提供的服务的威胁。简单地说,你不能修复你不知道的事情,"这位女发言人说。
在SolarWinds一案中,涉嫌为俄罗斯政府工作的黑客侵入了其网络管理软件,并添加了允许黑客监视最终用户的代码。
黑客侵入了9个联邦机构和100家公司,包括微软公司和其他主要的科技公司。
拟议的命令将采取安全专家长期寻求的措施,包括要求对联邦机构内部的数据进行多因素身份验证和加密。
该命令将对被认为至关重要的程序实施额外的规则,例如要求一份"软件材料单",其中阐明了里面的内容。越来越多的软件激活其他程序,从而增加了隐藏漏洞的风险。
通知要求将产生最直接的影响。该规则旨在推翻保密协议,供应商称这些协议的信息共享有限,并允许官员查看更多入侵事件。
该命令还将迫使供应商保存更多的数字记录,并在应对事件时与联邦调查局和国土安全部的网络安全和基础设施安全局(CISA)合作。
实际上,这些变化将通过更新联邦收购规则来实现。知情人士说,向政府出售的主要软件公司,如微软和 SalesForce,将受到这一变化的影响。
过去,国会曾试图制定国家数据泄露通知法,但因行业阻力而失败。这样的法案将迫使那些遭遇黑客攻击的公司通过政府机构公开披露。
如果最终确定为接近草案的形式,行政命令将部分实现广泛的披露目标。也可以出台新的公开披露法。
该命令草案还将设立一个网络安全事件响应委员会,由来自联邦机构和网络安全公司的代表参加。该论坛将鼓励供应商和受害者分享信息,也许结合奖励和责任保护。
