美网络安全信息共享法预提参 借鉴几何?


美参议院正在试图再次尝试立法来推动威胁情报共享,但有专家表示新法案存在“重大问题”。

2015年网络安全信息共享法案(CISA)预计今年秋天提交参议院,此前已经有两个CISA提交参议院,由参议员Diane Feinstein赞助,一个在2012年,一个在2014年,但最终都失败。而这个由参议员Richard Burr赞助的新法案得到的早期评论是,它比此前的法案略差一点。

电子前沿基金会(EFF)已经举行活动来反对这个立法,并在其博客中称,2015年新修订CISA法案没有解决政府机构的新“监控权力”的问题。

Privacy Professor首席执行官Rebecca Herold也同意这种观点,并表示,该法案没有推动威胁情报共享,而是迫使企业与政府共享数据,或可能在其与竞争对手参与共享时使其处于不利之地。

“政府是收集者,他们为共享数据提供存储库,并最终为这些数据的安全性负责,”Herold表示,“然而,正如很多安全事件和隐私侵犯的历史证明,政府并不是这类活动的可靠实体,执行此类活动的实体应该是客观实体,并拥有经过证明的专业知识以及保护数据的成功经验。”

Herold还指出,围绕数据泄露责任保护的法规旨在促进信息共享,但其过于宽泛,而消除了所有的责任制。

“该规定消除了数据泄露涉及的个人的所有责任和追索权,”Herold表示,“如果监控包括对个人信息的收集,并且这些信息被不当使用、共享或泄露,所涉及的个人将没有追索权。他们只需自己处理相关的损害,这无法让人接受。”

按照目前编写的法案来看,该法案还将对信息自由法案提供豁免,Herold认为这是“完全不能接受的,因为这消除了政府的透明度,并进一步打开了数据滥用和不当共享的大门”。

然而,EFF指出,参议院Patrick Leahy提议了修订,将删除该条款。

还有很多其他有争议的修订,包括将对僵尸网络禁令的修订或者编纂EINSTEIN入侵检测系统的修订,这并未能阻止OPM数据泄露事故的发生。

最终,EFF表示该法案使用的语言过于宽泛且模糊。

“CISA模糊的定义、宽泛的法律豁免和新的监控权力可能对用户的隐私造成不必要的损害,并且,公众很难了解到这一点。即使是参议员Al Franken提交的修订缩小了CISA的一些定义,但还是没有澄清其最令人头疼的规定。”

Herold表示,这里的重点是创建一种全面的安全的方式让企业收集、共享和分析网络安全威胁及漏洞数据,但政府没有证明其可以作为这种数据的可靠收集者,国会也没有证明其能够编写必要的立法。

“无论是过去和现在,立法委员组编写信息安全法存在的重大问题在于,他们中绝大多数不知道如何部署有效的信息安全控制,并且对于安全技术,他们不太明白哪些现实,哪些是不现实的,”Herold表示,“同时,可悲的是,极少数人在真正学习和理解信息安全。”

“CISA将不会显著地提高安全性,而会创建全新的官僚要求,错误地安抚公众的恐惧,而这些喜欢装作关心安全性的政治人物,他们实际上做的是丢掉恐惧、不确定性和怀疑来夸大自己的政治重要性。”

发表评论