澳大利亞的2017年隱私權(quán)修正(數(shù)據(jù)泄露通報)法案標志著信息安全立法的一大里程碑。整個技術(shù)行業(yè)又一次對有無必要進行法律干預開展爭論!RSA的彼得·特蘭立足于全球視角對澳大利亞新出臺的強制性數(shù)據(jù)泄露通知方案作出評論。
截至目前,包括澳大利亞在內(nèi)的全球約90個國家出已臺了信息安全相關(guān)法律法規(guī),而其嚴格程度、執(zhí)行方式以及處罰力度亦各不相同。目前美國約47個州擁有自己的安全違規(guī)通報法,盡管尚未在國家層面引入統(tǒng)一的法律要求。但大多數(shù)數(shù)據(jù)泄露事件仍然未被及時發(fā)現(xiàn)與報告。
信息安全相關(guān)法律關(guān)注的重點不再應該是其普及廣度、深度的問題,而真正應該落實在如何保護數(shù)字隱私與落實違反安全法律的具體措施上。衡量安全違規(guī)措施及數(shù)據(jù)隱私法律有效性的惟一方法,在于相關(guān)立法舉措能否起到防止安全違規(guī)事件的發(fā)生的作用。但這種衡量方式屬于一種“模糊科學”。
美國國家標準與技術(shù)研究所(簡稱NIST)發(fā)布的網(wǎng)絡安全框架雖然只是一份針對當下的指導性最佳實踐框架,但其卻與政策、合規(guī)性與安全運營實現(xiàn)了緊密對接。英國國家網(wǎng)絡安全中心(簡稱NCSC)與其類似,NIST框架同樣由政府機構(gòu)同私營部門間協(xié)同構(gòu)建,允許各類組織機構(gòu)基于自身業(yè)務需求及具備成本效益的方式解決并管理網(wǎng)絡安全風險,而無需進行額外的監(jiān)管性約束。這種作法被稱為“業(yè)務驅(qū)動型安全保障”。NIST框架能夠衡量安全違規(guī)在商業(yè)環(huán)境中帶來的實際影響以評估其執(zhí)行有效性,而這也正是“紙上談兵”與以實踐為導向舉措間的最大區(qū)別所在。
立法是管理手段而非技術(shù)措施
業(yè)務準則與法律之間存在著微妙的平衡。立法行為只是為敦促組織機構(gòu)積極提升自身的監(jiān)控與檢測能力,盡可能避免重大安全違規(guī)及數(shù)據(jù)失竊、操縱及/或銷毀事故,或者在遭遇這些事故之后能夠有能力迅速應對。立法行為不應該被理解成防止安全違規(guī)或者改進早期檢測與響應能力的有效措施。
一部分企業(yè)可能認為報告安全事件會被政府懲罰,因此質(zhì)疑就數(shù)據(jù)泄露通報程序進行立法的必要性。然而政府的真正意圖在于鼓勵企業(yè)更為積極地利用主動識別機制處理網(wǎng)絡攻擊風險與安全漏洞來降低自身面臨的風險,雖然這一動機看似不太明顯。可以肯定的是針對企業(yè)數(shù)據(jù)泄露事故報告立法已經(jīng)發(fā)出了一項清晰而迅速的全球性指示信息————澳大利亞企業(yè)已經(jīng)開始落實對公共及私有關(guān)鍵性基礎(chǔ)設(shè)施進行保護的具體措施。
就安全違規(guī)事件報告程序的立法要求能夠帶來一項核心收益,即推動企業(yè)以更為緊迫的態(tài)度在違規(guī)事故發(fā)生期間及之后報告關(guān)鍵性數(shù)據(jù)。這些數(shù)據(jù)將可用于實施主動網(wǎng)絡防御技術(shù)、戰(zhàn)術(shù)。
在這方面,美國國防部對國內(nèi)諸如銀行及醫(yī)療衛(wèi)生等部門實施的舉措就非常值得借鑒。其對私營行業(yè)及其承包與采購商發(fā)布了一系列與安全違規(guī)通報相關(guān)的規(guī)則與條例,同時建立起合作與志愿項目,包括:國防工業(yè)基礎(chǔ)網(wǎng)絡安全計劃(簡稱DIB-CS);銀行FS-ISAC以及醫(yī)療衛(wèi)生NH-ISAC等————旨在實現(xiàn)公共與私營部門各參與者間的合作伙伴關(guān)系。
這些網(wǎng)絡安全合作伙伴將為保密及非保密網(wǎng)絡威脅信息的共享提供一個協(xié)作環(huán)境,同時允許分析師與分析人員間針對緩解及補救策略進行無障礙交流。這不僅能夠為企業(yè)帶來分析支持與取證分析協(xié)助,同時亦極大促進政府與行業(yè)對網(wǎng)絡威脅事務的了解和掌握。憑借著緊密的聯(lián)系、立法與協(xié)作,該志愿項目帶來了顯著成效。這亦證明如果缺少這種對接能力,網(wǎng)絡安全體系將很可能全面破裂。
在已頒布或者計劃發(fā)布類似立法條款的90個國家當中,大部分尚未意識到網(wǎng)絡安全與違規(guī)事故響應并不遵循與法律規(guī)定內(nèi)相同的法律假設(shè)。事實上,遭受損失的機構(gòu)往往需要很長一段時間才會察覺到這些互聯(lián)網(wǎng)安全問題。也就是說哪怕是私營及公共部門已具備成熟能力尚不能夠有效監(jiān)控并檢測攻擊活動。
在具體落實數(shù)據(jù)泄露報告制度前的12個月過渡期內(nèi),CISO們必須充分掌握自身網(wǎng)絡安全狀態(tài)、及判斷現(xiàn)有監(jiān)控與檢測能力差距,確定機構(gòu)的數(shù)據(jù)資產(chǎn)分類與業(yè)務風險注冊信息已更新。如果尚未建立這一業(yè)務風險注冊表,則其應在接下來的12個月內(nèi)將此作為優(yōu)先事務處理。這樣,CISO便能夠立足合規(guī)性角度確定企業(yè)自身的短期、中期與長期準備情況,評估其安全規(guī)劃的可恢復性,最終擬定能夠在遭遇重大安全違規(guī)事故時遵循法律要求中指定的必要與禁止性行為。
企業(yè)著手投資前瞻性信息安全實踐
應提倡自主保護體系建設(shè),對于那些始終不愿投資建立信息安全方案建設(shè)的企業(yè)來說,或許正在坐等立法通過,對組織機構(gòu)及利益相關(guān)者進行保護工作僅僅是被立法推著走,而沒有著手投資前瞻性信息安全實踐,這無論對于哪種機構(gòu)其風險性都無異于玩火自焚。
隨著這一輪即將實施的立法性要求,澳大利亞將在法律、運營最佳實踐與指導性思想之間建立新的協(xié)作橋梁,并著力讓數(shù)字化安全成為企業(yè)DNA中的固有組成部分。企業(yè)應該趁此機會積極準備,為網(wǎng)絡破壞事件、應急響應建立彈性設(shè)計方案。
京公網(wǎng)安備 11010502049343號