美提法案，要求企業遇勒索軟體攻擊需通報主管機關

勒索軟體猖獗，加密或竊取用戶及客戶資訊，以及勒索企業數百萬美元贖金。美國參、眾議員本周提案，要求被勒索軟體攻擊的企業，應在付款48小時內向聯邦主管機關通報勒索及付款金額、以及是否使用加密貨幣等資訊。

名為《勒索揭露法案》（Ransom Disclosure Act）草案，是由美國參議員Elizabeth Warren和眾議員Deborah Ross聯合提出。新法案指出，勒索軟體已對美國國家安全、經濟及重大基礎架構造成威脅。然而受害企業過去不需向聯邦主管機關通報攻擊以及贖金支付細節，往往流失蒐集這些關鍵資料的契機，不但阻礙犯罪偵察，也不利於打擊勒索軟體攻擊。

今年5月美國供應東岸近45%燃油的Colonial Pipeline遭到DarkSide勒索軟體攻擊，造成運輸癱瘓，不但白宮宣布國家進入緊急狀態，國土安全部也稱勒索軟體的威脅不下於恐怖攻擊。

《勒索揭露法案》提議受害者應向聯邦主管機關通報歹徒勒索及支付細節，可協助調查勒索軟體攻擊及背後犯罪組織，並拼湊出勒索軟體威脅的整體面貌。

細節方面，這項法案要求受害企業包括個人，應在付款日後48小時內通報被勒索的金額、實際付出的贖金、使用的貨幣類別，以及已知任何和犯罪組織有關的資訊。議員相信這些資訊有助於了解多少錢被用以資助犯罪集團。

新法案也要求國土安全部公佈前一年勒索軟體活動資訊，但付款企業可免公佈。此外，國土安全部也應設立可供自主通報勒索軟體贖金的網站。法案並要求國土安全部長針對勒索軟體間的共通性，以及加密貨幣助長勒索軟體程度進行研究，以及提供保護加密貨幣的資訊。

不過這項法案仍需經過眾、參議院通過，由美國總統簽署才會成為正式法律。