奥巴马总统的行政命令草案(EO)来实现一些网络2012安全法(CSA)的规定,这本月初失败美国参议院,已再次激起了政府的网络安全作用的辩论。
小山上周报告该草案联邦机构反馈之间流传,并RT周三报道白宫已经泄露草案美联社的副本。
多个报道称,该草案的主要内容之一是,它会建立一个由美国国土安全部(DHS)主持的网络安全委员会,该委员会将制定一份报告,以确定哪些机构应规定哪些国家的“关键基础设施的组成部分。“
其他规定是,它需要有关威胁的政府信息共享,建立重要基础设施行业推荐性标准,加强监管机构的网络安全进行监督,并使用联邦采购作为公司施加压力,以提高安全性的一种手段。
在辩论的一侧是即将发生的EO的拥护者,包括桑斯。范士丹(d-Calif。)的和Jay洛克菲勒(d-WVA。),谁每个写信给美国总统奥巴马最近,敦促他发出EO时说,从网络攻击保护国家的重要基础设施是太重要了,等待来自拥挤不堪国会的行动。
[也可以看看:对私营部门的战斗,尽管网络安全法案的失败]
在另一边是企业和公民自由团体谁主张,总统是错误的规避国会,该订单将是成本太高,太重手,无效的,甚至没有必要,因为私营部门,终于解决了网络安全雄图它自己的。
有一系列的安全社区内部的意见为好,对批评者提出了以下主要问题:
总统不应该绕过国会上如此重要关系:
有些人,像库尔特·尼莫,写在Infowars.com“再奥巴马计划违反了宪法。”主张,
雅各布·奥尔科特,主要在良港咨询,认为一个巨大的夸大。“行政部门在没有经过国会输入创建的政策每天,”他说。“他们采取行政命令所有的时间它不是一个宪法危机 - 它就是这样我们的政府工程。”
其他人会落在这些观点之间。兰迪Sabett,与ZwillGen律师和信息安全领域的专家,不认为这是一个宪法问题,但他表示,“立法过程中是有原因的。越是这样(EOS)情况,问题较多的它变得因为你不从所有来源,这是我们政府的基础有投入。”
Sabett说,立法可以是一个“漫长的,痛苦的,协商的过程”,但它意味着包括所有的意见和呼声。“通过行政命令,你最终关闭了那些声音,”他说。
乔迪·韦斯特比,全球网络风险和律师的CEO,在写福布斯杂志,表达了类似的担忧。“哇,如果民主党参议员无法获得在立法室,他们控制通过一项法案,他们会看到,如果行政部门可以为他们做他们的工作,”她写道。“哎呀,甚至可以节省通过与众议院会议有缠斗他们。”
罗杰·桑顿,AlienVault的CTO,说的意图,迫使私营行业保护关键基础设施,是值得称赞的。“由国会和总统支持的任务很可能是在说服私营部门更有效,”他说。“在我看来,如果总统和国会存在不同看法,他们也很难导致私营部门的任何形式的解决方案。”
它将给美国国土安全部网络安全委员会的权力太大,以确定哪些是重要的基础设施:
吉姆·哈珀,在卡托研究所信息政策研究部主任,本周警告美国自由女神到“请关注这句话,‘关键基础设施’,因为它是一个臭名昭著的黄鼠狼字。”
哈珀说,他曾在2009年国会辩解说,应考虑是否关键,“资源的妥协马上会和近因危及生命和健康。”
But he said a report by the Center for Strategic and International Studies (CSIS) said, "'[Critical] means that, if the function or service is disrupted, there is immediate and serious damage to key national functions such as U.S. military capabilities or economic performance.'
“当饥饿的官员正在做的解释,经济的表现手段‘什么’,”哈珀写道。
兰迪Sabett同意,并称公司标记为关键,“甚至不会有一个过程提出申诉。如果你通过立法程序决定什么是重要的基础设施,这将是一两件事,但已经确定DHS这句话,有一个显著的风险,他们会得到它错了,”他说。
虽然符合标准,是被称为“自愿”,它实际上将是强制性的:
詹姆斯·刘易斯,技术和公共政策项目在CSIS主任告诉本山,该方案是行不通的,如果它是真正自愿的,主要是因为他在领导国家安全的努力称为由美国国土安全部一个“污点记录”。
“我找一个公司,说:‘我要自愿同意由国土安全部进行调整。’没有人会志愿者有DHS规范起来,”刘易斯说。
乔尔·哈丁,一位退休的军事情报官和信息作战专家也认为,强制性是necesary。“写为自愿任何会,事实上,强制性的,”他说。“为了使系统工作,保护我们的公司和企业,绝大多数必须合作,如果没有企业提交的数据的很大比例,整体的态势感知能力将是不准确的。”
它将与法规,这将是昂贵的,而不是企业的负担会让他们更安全:
史蒂芬Bucci的,在博客文章在传统基金会铸造上撰文指出,“(条例)正是为应对网络安全一样快速移动和令人难以置信的动力场错误的做法让黑客 - 无论是为自己工作或其他民族国家 - 一个静态的标准,他们会跳华尔兹绕过它,他们与目标实体的方式。”
兰迪Sabett说,这是他关注的主要领域。“我不太关心自愿与强制,以及更多关于什么是从安全角度来看,有效的,”他补充说,合规并不总能取得更好的安全性。
“很多机构已经花了很多符合FISMA(联邦信息安全管理法案),你可以检查框,但是当安全成绩单出来,你有机构用D-仍在获得资金,是什么这告诉我们什么?”
Sabett说,在政府,如果一个机构没有达到标准,它只是获取更多的资金,以帮助它遵守。“但在商业领域,你不用这个简单的货币流,如果你做得还不够好,”他说。“你风付出的钱是将是无效的东西。”
乔尔·哈丁说,他认为,从政府监管的压力仍然是必要的。
一个EO是没有必要的,因为私营部门在其自己的寻址这样的:
“没有将是必需的,事件,包括入侵,剥削和知识产权盗窃,将继续肆虐发展报告。通过不报,由没有规定,企业从长远来看,伤害了自己,”他说。
但韦斯特比说CSO在线:“企业不喜欢法规,行政命令将坑反对政府的企业界,这是适得其反,提高网络安全条例将很难激励企业采取网络安全行动将会把他们的只是做了什么位置,他们。需要做的,以满足合规性要求。”
一个EO是没有必要的,因为企业正在解决自己的安全:
理查德斯蒂农,在福布斯写作,认为,“好消息是,虽然美国国会犹豫不决,IT安全行业的发展。
“基于威胁网络安全是IT安全行业增长最快的部门。快速吸收代表了100%的年增长速度表明,没有一个单一的法规或行政命令的问题正在得到解决,”他写道,补充说,在征收条例基础运营商,“基于过时的资产和漏洞的方法将实施基于威胁的防御分散他们的注意力。该行政令草案,如果发行,会做很多弊大于利。”
但是Sabett计数器,而私营部门确实有其自身的安全性的兴趣,他们仍然需要从政府“微调”。他在2003年说,前佛罗里达州众议员亚当·帕特南提出了一项法案,是“有点像Sarbanes-Oxley法案的网络安全。和业务都疯狂了。大家都说,“我们会照顾好它。”
“但这里是在2012年事情还没有更好的得到。”
这个故事,“关于网络安全的呐喊奥巴马的exec命令草案辩论”最初发表CSO 。