關于網絡信息共享法(CISA)有一些爭議存在,一些安全專家們強烈地反對它。你能否解釋一下CISA具體是什么?它意在做什么?
Mike O. Villegas:CISA(區別于ISACA)是美政府正在考慮的一項法案,旨在改善私營企業和政府間有關網絡威脅的信息共享。該法案的反對者認為它在隱私方面過于干涉了。很多人也紛紛表示他們對聯邦政府的懷疑,盡管是出于好心,但政府并不具備必要的資金,用以為收集來的個人隱私提供恰當的安全和隱私保護。
CISA的目的有:
· 界定網絡安全的目的;
· 確定網絡安全威脅或安全漏洞的資源;· 確定網絡安全威脅,包括由外國攻擊者或恐怖分子使用的信息系統;· 防止或緩解緊急威脅,嚴重的人身傷害或經濟損害,包括恐怖行動或使用大規模殺傷性武器;· 防止或減輕對未成年人的威脅,包括性虐待及其他人身安全威脅;· 防止、調查、破壞或起訴由暴力或欺詐、身份盜竊引起的犯罪。
看上去CISA的目的是合理的,但一些批評人士擔心美國政府和私營企業之間的信息共享會涉及非犯罪性質的私人信息。
根據該方案,網絡安全情報數據將以這樣一種方式收集起來:任何未經授權的使用或者任何指向“持有隱私信息或識別特殊人士”的網絡威脅的披露都會被收集起來。這意味著數據會在私營企業和政府之間進行共享。個體包括任何個人或私人組織、機構、私企、合伙企業、信托公司、合作社、公司或其他商業或非營利性實體,包括官員、雇員或代理人。同時也包括州、部落或地方政府實施電力使用服務。
也有其他規定要求聯邦機構保護數據免遭未經授權的訪問。
另有兩項相關提案:保護網絡行為和國家網絡安全保護發展法案,與CISA非常相似,簽署成為法律只是時間的問題。
理想而言,CISA將會起作用。然而實際操作上,它未必能運作良好。一些批評人士認為由于政府固有的缺點,CISA將不會起作用。這也未可知,不過網絡安全威脅的確是真實的并且在不斷發展。信息共享只是保護網絡安全環境所要考慮的方面之一。歸根結底,是否應該設立一部網絡安全信息共享法?是的,我認為這是應該的。不過,我們是否做足了準備,這仍是一個需要商榷的問題。
京公網安備 11010502049343號