“如果美國已經有了一個網絡安全法案的話,周三紐交所和美聯航公司的全面技術故障就可能避免。”周三以來,這是美國國會討論最多的話題。
美國執法和安全官員說,他們認為當日紐交所停盤和美聯航一度暫停所有航班,以及《華爾街日報》網站出現臨時故障之間沒有聯系。美國聯邦調查局(FBI)局長科米說:“我們沒有發現網絡漏洞或網絡攻擊的任何跡象。”科米指出,他認為《華爾街日報》網站的故障應該是因為紐交所交易中斷,很多人登錄該報網站查看相關新聞信息,導致服務器過載所致。
盡管執法人員和國會情報委員會成員都認為,星期三所出現的三起事件同網絡攻擊無關,仍有多名美國國會議員認為,這些看起來似乎是內部電腦故障所引發的事故具備了網絡攻擊的特征,而本應該早就出臺的保護美國國內網絡安全的法案,也就是被稱為美國《網絡安全信息分享法案》(CISA)的無法通過,為美國全國范圍內的網絡安全造成了隱患。
那么為什么這項得到很多議員支持的法案,卻一直無法在國會通過呢?
國會參議院情報委員會的一位立法助手告訴《第一財經日報》記者,盡管每次國會提到CISA的時候總會有許多支持的聲音,但相關法案其實是目前最有爭議的一項立法。主要原因就是,許多同網絡安全有關的信息分享,大部分都已經在其他相關法律的保護范圍內,只是沒有將這些立法條款歸納成一項特別的法案。
特別是,許多技術專家和網絡安全專家都認為,CISA和其他關于網絡攻擊以及信息分享的法案基本沒有必要。此前,因為谷歌公司的信息分享引發的侵犯公民隱私權事件,讓美國政府部門和私人公司當前在信息分享方面,都希望能夠“劃清界限”、“能不分享盡量不分享”。
還有情報安全領域的議員認為,希望能夠有一部通過增加信息分享而避免未來網絡攻擊的立法的觀點,本身就是不現實的。
“當一個系統被攻擊的時候,攻擊者會留下一個蹤跡,調查者會搜集這些‘面包屑’,這些數據的一部分可以讓其他的系統操作者查看他們是否也被攻擊,同時保護他們在將來不受類似的攻擊。”加州民主黨參議員費因斯坦(DianneFeinstein)在遞交給參議院情報委員會的一封信中指出,“所以說,保護網絡安全的專家們已經能夠互相同政府部門分享這些信息。”
網絡安全立法方面的專家指出,有關網絡安全信息的分享法案,最難界定的就是如何在現有已經存在爭議的相關立法上做出修改。比如,如何將信息分享只限制在那些保護未來系統受到攻擊的部門之間——這些部門所跨越的政府職能范圍本就非常廣泛,而如果再要涉及私有企業就更難做出準確界定。另外,在信息分享的過程中所引發的有關侵犯公民隱私權的討論,也是重要的挑戰,特別是在信息分享之后如何處理已經掌握的公民私人信息,以及如何準確界定只將這些信息用于安全隱患方面的調查。
此外,盡管美國政府一再聲稱將會增加專門保護美國私人公司網絡安全的政府部門,在過去的10年中,同大規模網絡故障有關的事故卻增加了10倍,從2006年的5502起增加到2013年的6.1萬起。新美國基金會的一項研究指出,用于保護網絡安全所設立的多余和重復的政府部門,卻在負面范圍內影響了政府網絡的安全,這是由于信息的超負荷運載、不同部門之間責任的不明確,以及不同部門在對待不同安全議題時的不同政策造成的。
“就是管理最有效的政府,也不一定能夠將CISA運轉成功,因為這是一項在不斷變化的系統上設定一個技術性的政府系統去管理。”新美國基金會的研究報告稱。
京公網安備 11010502049343號