美參議院正在試圖再次嘗試立法來推動威脅情報(bào)共享,但有專家表示新法案存在“重大問題”。
2015年網(wǎng)絡(luò)安全信息共享法案(CISA)預(yù)計(jì)今年秋天提交參議院,此前已經(jīng)有兩個CISA提交參議院,由參議員Diane Feinstein贊助,一個在2012年,一個在2014年,但最終都失敗。而這個由參議員Richard Burr贊助的新法案得到的早期評論是,它比此前的法案略差一點(diǎn)。
電子前沿基金會(EFF)已經(jīng)舉行活動來反對這個立法,并在其博客中稱,2015年新修訂CISA法案沒有解決政府機(jī)構(gòu)的新“監(jiān)控權(quán)力”的問題。
Privacy Professor首席執(zhí)行官Rebecca Herold也同意這種觀點(diǎn),并表示,該法案沒有推動威脅情報(bào)共享,而是迫使企業(yè)與政府共享數(shù)據(jù),或可能在其與競爭對手參與共享時使其處于不利之地。
“政府是收集者,他們?yōu)楣蚕頂?shù)據(jù)提供存儲庫,并最終為這些數(shù)據(jù)的安全性負(fù)責(zé),”Herold表示,“然而,正如很多安全事件和隱私侵犯的歷史證明,政府并不是這類活動的可靠實(shí)體,執(zhí)行此類活動的實(shí)體應(yīng)該是客觀實(shí)體,并擁有經(jīng)過證明的專業(yè)知識以及保護(hù)數(shù)據(jù)的成功經(jīng)驗(yàn)。”
Herold還指出,圍繞數(shù)據(jù)泄露責(zé)任保護(hù)的法規(guī)旨在促進(jìn)信息共享,但其過于寬泛,而消除了所有的責(zé)任制。
“該規(guī)定消除了數(shù)據(jù)泄露涉及的個人的所有責(zé)任和追索權(quán),”Herold表示,“如果監(jiān)控包括對個人信息的收集,并且這些信息被不當(dāng)使用、共享或泄露,所涉及的個人將沒有追索權(quán)。他們只需自己處理相關(guān)的損害,這無法讓人接受。”
按照目前編寫的法案來看,該法案還將對信息自由法案提供豁免,Herold認(rèn)為這是“完全不能接受的,因?yàn)檫@消除了政府的透明度,并進(jìn)一步打開了數(shù)據(jù)濫用和不當(dāng)共享的大門”。
然而,EFF指出,參議院Patrick Leahy提議了修訂,將刪除該條款。
還有很多其他有爭議的修訂,包括將對僵尸網(wǎng)絡(luò)禁令的修訂或者編纂EINSTEIN入侵檢測系統(tǒng)的修訂,這并未能阻止OPM數(shù)據(jù)泄露事故的發(fā)生。
最終,EFF表示該法案使用的語言過于寬泛且模糊。
“CISA模糊的定義、寬泛的法律豁免和新的監(jiān)控權(quán)力可能對用戶的隱私造成不必要的損害,并且,公眾很難了解到這一點(diǎn)。即使是參議員Al Franken提交的修訂縮小了CISA的一些定義,但還是沒有澄清其最令人頭疼的規(guī)定。”
Herold表示,這里的重點(diǎn)是創(chuàng)建一種全面的安全的方式讓企業(yè)收集、共享和分析網(wǎng)絡(luò)安全威脅及漏洞數(shù)據(jù),但政府沒有證明其可以作為這種數(shù)據(jù)的可靠收集者,國會也沒有證明其能夠編寫必要的立法。
“無論是過去和現(xiàn)在,立法委員組編寫信息安全法存在的重大問題在于,他們中絕大多數(shù)不知道如何部署有效的信息安全控制,并且對于安全技術(shù),他們不太明白哪些現(xiàn)實(shí),哪些是不現(xiàn)實(shí)的,”Herold表示,“同時,可悲的是,極少數(shù)人在真正學(xué)習(xí)和理解信息安全。”
“CISA將不會顯著地提高安全性,而會創(chuàng)建全新的官僚要求,錯誤地安撫公眾的恐懼,而這些喜歡裝作關(guān)心安全性的政治人物,他們實(shí)際上做的是丟掉恐懼、不確定性和懷疑來夸大自己的政治重要性。”
京公網(wǎng)安備 11010502049343號