你应该分享违约信息吗?

如今，当公司遭遇安全漏洞时，他们面临的核心困境是:告诉全世界，希望诚实帮助他人，还是保密，以免玷污品牌，避免可能的诉讼?从下面的论点中有一件事是清楚的:现在是政府从等式中去掉猜测的时候了。

是的，公司应该被要求分享违约信息。这是保护我们自己至关重要的第一步。

2011年5月，五名民主党参议员致信美国证券交易委员会(U.S. Securities Exchange Commission)主席玛丽·夏皮罗(Mary Schapiro)，要求一项动议，要求公司披露其网络风险。其目的是通过披露信息来保护投资者，使他们能够做出更明智的决定。我们需要类似的安全漏洞披露要求，以帮助加强我们的防御。

数据泄露测试

最近的数据泄露是有针对性的攻击的结果，这些攻击始于恶意软件源和初始感染。一旦进入，程序就会呼叫命令和控制系统，然后在整个企业中横向移动，感染更多的主机，并寻求更高级别的特权和直接访问有价值的信息。目标信息被安排在网络的外围然后被转移。

根据定义，每一次有针对性的攻击都是独一无二的，都是专门设计来渗透组织并窃取信息的，但它们都遵循相似的模式并留下痕迹。总的来说，我们可以跟踪这些足迹，监控坏人使用的路径，但我们需要共享每个漏洞的信息，以防止未来的攻击。

因为经济潜力，我们知道即使我们阻止了一次袭击它也会被重新安排去攻击另一个目标。与这些对手作战的唯一方法是采取攻势，这需要共享有关攻击的知识——而知识共享必须跨越联邦机构和私营部门。

作为第一步，政府需要创建一个信息交换所，如果企业同意遵循一套严格的报告要求，就可以访问该信息交换所。我们还需要要求企业向该清算所提供有关入侵的信息。所有信息将被集中定位，并将建立一个沟通和协作流程，以跟踪在公司网络上发现的每一个外国指纹。

公司应该披露网络入侵和此类入侵的取证。这对防止这些攻击危及我们企业的生存能力和我们的国家安全利益至关重要。

有网络保险吗?

虽然有时联邦政府和私营部门会联合起来，但这种合作需要标准化。今天政府可能会警告企业可疑的活动，并让公司去发现其网络内发生了什么。但这家公司并不需要回头核实活动并分享学到的东西——这意味着没有人比它更聪明。为何不公开所收集的资料?

2011年将被铭记，因为匿名，LulzSec黑客集体聚集在一起。黑客组织很聪明;他们合作，我们也要合作。

虽然在这方面看到一些团队合作令人兴奋，但现在是付诸行动的时候了。现在，坏人占了上风。

改变力量平衡需要更好地合作，共享信息，通过创新技术和改进我们的流程致力于更好的安全态势。我们不能再将入侵视为单个的威胁，而是将其视为一个更大的谜题的一部分，有朝一日，这个谜题将使我们能够在威胁进入我们的网络之前发现它们。

珍珠港事件证明了共享军事情报的必要性。事后看来，政府认识到这一单一事件是一个重大情报失误的结果:误导性分析、收集漏洞和对手提供虚假信息，试图在这一切中混淆视听。

在网络世界中，我们有一系列更小的结晶时刻，这些时刻都是警告信号。我们不应该需要像珍珠港事件那样的严重事件来促使我们采取行动。我们看到了迹象，不能坐以待毙。通过适当的分析、信息和协作可以防止数据泄露，而信息共享是理解和防止未来泄露的第一步。

如果公司的行为符合股东的最大利益那么分享细节是没有好处的安全除非法律要求披露信息，或者这样做有助于减少客户、合作伙伴或其他人的经济损失。至于是否有披露违规行为的受托责任，这仍然是法律的灰色地带。

如果披露你的数据被泄露的细节会损害公司的声誉，或者引发监管机构和行业组织的罚款和制裁，那么这可能会损害股东的价值。如果披露的信息引发了对公司治理的质疑，可能还会阻碍该组织获得资本(无论是私人资本还是公共资本)。这样的披露也可能引发一些毫无意义但却有充分理由的诉讼。

数据泄露的影响

最近的头条新闻证明，任何组织都可能成为受害者，无论之前在安全方面的投资如何。而且，由于当今许多备受瞩目的攻击似乎是出于政治、贪婪和自我的某种结合，此次披露可能会引发更多的攻击。

政府的工作是提供明确的指导公司违反报告要求．这种报告的目标应是向执法部门提供情报，协助逮捕犯罪者，并协助起诉罪行。另一个目标是适当地确定违约的责任，而不是进一步损害公司和它的客户。

不幸的是，我们各州检察长的贪婪可能导致在各州权利的旗帜下对企业受害者的进一步惩罚。企业受害者会发现自己因受害而被国家处以罚款——理由显然是受害企业足够有钱支付。

而且检察官似乎有一种错误的印象，认为保护私人数据始终是公司的权力范围。实际上，今天的企业被期望建立起一种坚不可摧的防御体系来抵御所有的攻击者——包括没有人被证明有能力击败的由民族国家资助的犯罪分子。

一个解决方案

联邦政府已经提出了一些规则，根据这些规则，如果公司及时告知执法部门违规行为，并帮助逮捕和审判犯罪者，就可以免于起诉。

州政府和联邦政府也应该更好地发布具体的、可操作的安全标准，以帮助合规组织免受攻击。

不断发展的标准，如共识审计准则美国证券交易委员会(Securities and Exchange Commission，简称sec)最近的指导意见令人鼓舞，但迄今为止，联邦政府和州政府在推动此类标准方面做得太少。

对企业而言，缺乏可采取行动的、明确的网络安全标准，实际上意味着，不作为、尽一切可能的做法，可能与未接受过信息技术教育的司法机构，或一心要填满国库的检察官同等重要。

缺乏可采取行动的企业安全要求——以及对披露数据泄露并配合起诉的组织没有安全港的事实——创造了一种反常的场景，即披露更多的数据不符合企业的利益，而不符合法律的要求。事实上，可以认为，如果一位公司高管披露的信息超过法律规定的最低限度，那么他就应该被解雇，因为他忽视了公司对股东的责任。

现在是联邦政府公布其公开违规行为的指导方针的时候了，并阐明企业如何通过“做正确的事情”来保护自己免受起诉。

我还认为，如果一家公司(无论是公共诉讼还是私人诉讼)对其系统采取了合理的保护措施，那么对它提起诉讼不仅会适得其反，而且会让人恼火。但当然，这并不能阻止一些律师在模棱两可的指导方针依然存在的情况下“乘机行事”。

联邦政府是时候把那些攻击被入侵公司的奸商赶出市场了，并允许公司在不受惩罚的情况下披露被入侵的信息，做正确的事情。然而，今天，公司不应该分享泄露信息。

想要更多的技术辩论?查看我们的存档页面