美提法案，要求企业遇勒索软件攻击需通报主管机关

勒索软件猖獗，加密或窃取用户及客户资讯，以及勒索企业数百万美元赎金。美国参、众议员本周提案，要求被勒索软件攻击的企业，应在付款48小时内向联邦主管机关通报勒索及付款金额、以及是否使用加密货币等资讯。

名为《勒索揭露法案》（Ransom Disclosure Act）草案，是由美国参议员Elizabeth Warren和众议员Deborah Ross联合提出。新法案指出，勒索软件已对美国国家安全、经济及重大基础架构造成威胁。然而受害企业过去不需向联邦主管机关通报攻击以及赎金支付细节，往往流失搜集这些关键资料的契机，不但阻碍犯罪侦察，也不利于打击勒索软件攻击。

今年5月美国供应东岸近45%燃油的Colonial Pipeline遭到DarkSide勒索软件攻击，造成运输瘫痪，不但白宫宣布国家进入紧急状态，国土安全部也称勒索软件的威胁不下于恐怖攻击。

《勒索揭露法案》提议受害者应向联邦主管机关通报歹徒勒索及支付细节，可协助调查勒索软件攻击及背后犯罪组织，并拼凑出勒索软件威胁的整体面貌。

细节方面，这项法案要求受害企业包括个人，应在付款日后48小时内通报被勒索的金额、实际付出的赎金、使用的货币类别，以及已知任何和犯罪组织有关的资讯。议员相信这些资讯有助于了解多少钱被用以资助犯罪集团。

新法案也要求国土安全部公布前一年勒索软件活动资讯，但付款企业可免公布。此外，国土安全部也应设立可供自主通报勒索软件赎金的网站。法案并要求国土安全部长针对勒索软件间的共通性，以及加密货币助长勒索软件程度进行研究，以及提供保护加密货币的资讯。

不过这项法案仍需经过众、参议院通过，由美国总统签署才会成为正式法律。