在過去兩年，美國國會的立法者們只將一份提到“勒索軟件”的法案簽署為法律。

　　與之形成鮮明對應的是，勒索軟件攻擊的態勢沒有任何減弱的跡象。事實上，隨著美國各地有更多受害者因勒索軟件攻擊而承受重大損失，可以預見未來兩年之內立法層面必然、也必須迎來一波實質行動。

　　中間偏左翼智庫Third Way的國家安全項目高級政策顧問Michael Garcia表示，“我認為關于勒索軟件攻擊的立法將成為關注焦點。無論是否公開，幾乎每個國會選區都曾遭遇過某種勒索軟件的攻擊。這一點從受到攻擊影響的醫院及學校數量上，就已經得到證明。”

　　在最近一起網絡事件中，密西西比州某公立學校透露稱，他們向勒索軟件攻擊方支付了30萬美元贖金。而另一家美國醫療企業全民健康服務（UHS）表示，受勒索事件影響，該公司損失達6700萬美元。

　　美國眾議院國土安全委員會已經將勒索軟件放在網絡安全戰線的第二位。目前，該委員會正優先考慮提出一項面向各州及地方政府的網絡安全補助金法案，此舉有望幫助各市政機構更有力地對抗勒索軟件攻擊。除此之外，一位小組研討助理還提到，此項計劃“若能得到參議院的支持，未來還將進一步針對勒索軟件制定抵御措施。”

　　紐約州共和黨眾議員John Katko表示，他希望能夠在兩黨之間取得共識，努力促進國土安全部下轄的網絡安全與基礎設施安全局（CISA）參與到這場對抗勒索軟件的斗爭當中。

　　他解釋道，“保證CISA擁有打擊勒索軟件攻擊所需要的資源、人力與權利，將直接決定這場對抗勒索、乃至抵御其他網絡攻擊之戰的結局。”

　　在參議院方面，國土安全委員會主席Gary Peters從去年開始就在籌劃重新提出三項法案，希望為各州及地方政府、小型企業以及K-12階段學校提供網絡攻擊方面的一般性協助。委員會的一位助理還表示，這些法案亦有望協助抵御勒索軟件攻擊。

　　而領導國土安全新興威脅與支出監督小組委員會的參議員Maggie Hassan也提出了立法及其他聽證計劃，希望為拜登政府出臺的勒索軟件抵御政策提供配合。

　　來自新罕布什爾州的民主黨人Hassan認為，“這些努力將有助于全面預防并緩解網絡威脅帶來的影響，包括在疫情期間針對當地學校、企業及醫院發動的高破壞性勒索軟件攻擊。”

　　已達成目標，與未達成目標

　　在上一屆國會中，共有11項法案提到了勒索軟件。

　　最終唯一得到通過的，是體量龐大的年度國防政策法案，其中包括Hassan提出的在各州設立網絡安全協調員職務的立法建議。根據該法案，這些協調員的工作內容包括“支持運營培訓、演習與規劃的連續性，加快機構從網絡安全事件（包括勒索軟件攻擊）當中的恢復速度。”

　　其他幾份未能通過的提案包括：一項法案要求司法部整理一份報告，評估勒索軟件及其他類型的網絡欺詐活動給美國公民造成的經濟損失。還有一些提案在文本的“調查結果”部分提到了勒索軟件威脅，用于解釋另一項立法提議的動機。

　　Garcia表示，在某種程度上，國會方面似乎還沒搞清楚該如何針對勒索軟件進行立法。就目前來看，有望在國會上通過的不少網絡安全法案都或多或少涉及勒索軟件，但只將其視為常規威脅類型之一。

　　一些州立法機構已經為國會的勒索軟件應對路線指出了可行方向，例如制定專門處理勒索軟件攻擊的刑事處罰法條，或者禁止某些特定類別的受害者向勒索攻擊方支付贖金等。

　　而在眾議院國土安全小組的專項預算等提案中，體現的則是更為傳統的處理思路——即由國會回應各州及地方一級政府的申請，將勒索軟件威脅的應對機制納入更為廣泛的網絡威脅解決方案當中。

　　亞特蘭大市長Keisha Bottoms曾在2019年關于勒索軟件的聽證會上表示，該市一年之前親身經歷了一輪勒索軟件攻擊，并造成數百萬美元的損失。如果能夠獲得聯邦政府的額外撥款，“不僅可以加快響應與恢復速度，同時也能降低被迫支付贖金的幾率，最終削弱攻擊者將地方政府設為目標的意愿。”

　　全國縣級協會首席信息官Rita Reynolds表示，該協會正在向國會方面施壓，要求向各縣級政府提供更直接、更靈活的網絡與IT資金，而不再將資金單純交由州一級政府管理。該協會及其他代表地方政府的全國性組織也將在未來幾個月內發布一系列其他提案，向國會申請建立起統一的網絡事件應對策略。

　　由國會建立的網絡空間日光浴委員會之前曾就網絡犯罪問題提出一系列建議，這類提議同樣有可能在本屆國會上再次亮相。例如，該委員會曾于2018年敦促立法者通過法案中的特定條款，要求向檢察官提供更多工具以打擊僵尸網絡（被用于部署勒索軟件）。

　　美國最大的商業游說團體美國商會也有意推動國會通過相關提案。

　　美國商會網絡安全政策兼網絡、智能、供應鏈安全部門副總裁Matthew Eggers表示，“我們同意網絡空間日光浴委員會發出的呼吁，即應該主動出擊對抗網絡犯罪與勒索軟件攻擊，阻遏其利用他人及組織的隱私獲取非法利益。我們將繼續與各委員會、立法者及其他政策制定方開展合作，探討如何審慎地向勒索軟件攻擊及相關網絡犯罪活動發起反擊。”

　　當然，國會可能還需要完成一系列準備，才能真正加大對勒索軟件的管控力度。

　　Garcia表示，今年以來，立法者們一直忙于處理其他事務，例如彈劾前任總統特朗普以及審計拜登政府的人員提名清單。此外，SolarWinds大規模違規事件也占據了議員們在網絡安全方面的大部分注意力。

　　但與Garcia一樣，Reynolds也對國會就勒索軟件攻擊采取行動的前景抱樂觀態度。

　　Reynolds總結道，“我一直保持樂觀，甚至對前景感到更加樂觀。新冠疫情的爆發相當于催化劑，與各類重大安全違規事件耦合起來造成了巨大破壞。因此我認為當下正是采取行動，以統一且可持續的方式打擊勒索軟件的好時機。”