对于携带敏感信息的商务旅行者来说,情况继续恶化。美国第九巡回上诉法院做出了一项令人不安的裁决,美国海关和边境保护局(CBP)可以继续在未经授权的情况下对美国公民和外国人持有的电脑数据进行搜查。在没有任何理由或怀疑的情况下,美国海关可能会检查、复制或没收任何返回美国的人携带的数据设备。
CBP派出了最好的非线性思考者来研究这个案子,说服法庭相信例行边境检查的原则是为了“防止恐怖分子和恐怖主义武器进入(美国)”“可以通过搜索富有表现力的思想和个人交流来正确地服务。”符合一种常见模式隐私权的侵蚀,儿童色情嫌疑人使用的CBP作为一个测试用例——有可能的原因和合理怀疑基于其他因素——来证明为什么可能的原因和合理怀疑将不必要的整个旅行的民众。
该反应是迅速的和负压倒性;即使出了名的侵入美国运输安全管理局(TSA)发布的消息在网上从CBP的行动拉开距离。商务人士在边境各州和国外工作,以及休闲旅客,目前有充分的理由担心服用一台笔记本电脑,媒体播放器甚至是手机通过美国边境检查。不足为奇的是,如何避免或战胜视察建议是突然出现在互联网上。
协作
有一种风险是,CBP对这种新力量做得太过了,公众的反应让我想起了我了解团队合作真正意义的那一天。上世纪90年代末,一家大型移动电话运营商进行了一系列裁员、ceo的一系列人事变动,并采取了削减成本的措施,其中包括对员工绩效进行更深入的跟踪。(随着互联网泡沫的扩大,电信业的空气和水分也在流失。)
在空立方体农场和古拉格相适应的士气之中,整个网络的运营团队有一天早上露面打扮的花枝招展。飘是怪胎的T恤和吊带,破烂的衬衫和牛仔裤,头发领带,上衣,和严重的网络管理员的其他部落的标记。在整个网络运营中心和附近的办公室,有清脆的西装或裙子,漂亮的领带,衬衫压制和打磨的鞋 - 十几名员工,每颗一个是无可挑剔的。
当记者问,引管理只是说球队要清理其行为,因为该公司更有效,更专业地努力工作。我没买,我也没有我的导演。午餐后,导演按下操作导致大约发生了什么事情,并保持它。
最后,团队负责人缓和了下来:“我们其中一个要参加工作面试。”
道德吗?要小心你所引起的合作,尤其是那些被认为是不公平的行为,或者是一个无法维持的环境。
躲在人群
如果CBP鼓励广泛的合作来反对它的行动,它可能会对信息安全和国家安全产生反作用。对于个人和组织来说,更多的安全措施是必要的,以防止数据机密性和完整性受到明显随机的新威胁,因为CBP没有发布关于它如何检查、获取、保留或返回数据或设备的指南。
对于国家安全而言,样本的随机选择可能是统计信息收集或趋势分析的好工具,但对于大海捞针却毫无用处。这完全是识别风险的错误方法,而且因为它以个人权利的高昂代价为代价,因此,随机搜查和扣押的做法是不合理的。
许多新闻报道都是从一个包容的角度来探讨这一法律上未经证实的想法的,其中包括《计算机世界》(Computerworld)自己的一篇文章,内容是在CBP检查期间应遵循的步骤。然而,广泛的公众共识——甚至反映在上述《计算机世界》文章的评论中——表明,CBP的数据搜索和查封初步看来是不合理的。
因此,用加密、模糊处理和数据共享技术进行反击是完全合适的,这些技术可以有效地隐藏任何有价值的东西,要么混入其他旅行者和商务人士的人群中,要么把它们放在安全进入美国之前无法触及的地方。
另一方面,我不相信搜索是随机的。CBP可能有一个识别个人的协议,也有可能一些CBP的官员实际上遵循了这些协议(尽管直接观察表明官员的个人偏好是最重要的因素)。然而,“侧写”已经成为种族主义的委婉说法,所以很难表达从人群中挑选出危险人物的过程。因此,这个过程是不一致和不透明的。从公众的角度来看,所有做有趣事情的人都面临着增加的和不可预测的风险。
问题是,任何携带受保护或加密数据的人都会变得很有趣,除了礼貌和不唐人之外,几乎没有人能缓解这种情况。因此,任何真正关注法律信息安全要求、公司政策或个人隐私利益的人都必须假定自己是目标。如果这种趋势继续下去,任何持有受保护数据的人——外包合作伙伴的财务审计、卫生保健数据库或疾病概况、远程业务单位旅行计划或任何类型的现场工作——都将受到查封和不受监控地翻查他们的数据。
蹲下和掩护你的资产
如果没有一个明确的解决方案,那些携带有价值数据旅行的人别无选择,只能提高他们的预防性和响应性信息安全控制水平——这是准备和被动抵抗的结合。对于一些拥有敏锐IT支持的企业旅行者来说,这可能只是意味着更密切地关注现有的政策,并确保正确地划分和备份数据。对于那些没有这种安全保障的人,在这种情况得到解决之前,有几条基本准则:
——定期备份所有信息。即使便携式计算机是一个唯一的计算机,确保通过检查站进行数据绝不是唯一的复制。如果可行的话,在线增量备份到企业的IT服务可以工作,但常常是那样简单与自己从未与您或在同一时间传播的外部硬盘驱动器这样做。
——商业和个人数据分开。有些出差的人可能会带两台笔记本电脑,但对于大多数经常出差的人(在个人使用公司电脑方面有一定的灵活性)来说,这可能只是意味着工作时使用Internet Explorer,个人使用时使用Firefox。如果个人使用涉及大量的数据存储或多个应用程序,那么虚拟机可能是正确的解决方案,可以轻松地在家中备份,或通过单独的方式复制到DVD上发回。
对敏感的东西加密。拒绝解密数据或拒绝向CBP提供密码可能会导致数据被截获或被复制,但如果备份操作正确,这应该不会有什么影响——可能需要一周或一个月的时间。不过,这总比让CBP的法务人员或承包商去翻客户的财务数据,或去偷窥配偶的法国海滩照片要好。常识和一大堆监管要求要求,如果金融、健康和政府数据必须进行加密,就必须加以保护。个人自由裁量权通常会阻止收集有关地标和爆炸物的色情视频和文件,但人们可以自己选择如何在路上娱乐。在这两种情况下,加密你必须携带的东西。
——安全地检索远程数据。如果一些数据根本无法接触到无证审查和无证暴露的风险,然后查看并使用遥控器,加密的方法,如果在所有可能与它的工作。许多企业文档管理系统包括工具,允许在文档和电子表格非缓存工作通过加密连接。服务如谷歌文档和其他在线办公套件提供个人使用一个体面的逼近,前提是保持一个加密的会话,并意识到的其他安全问题。
- 确保设备不受损失。CBP目前没有对何时归还被没收的笔记本电脑做出任何保证;有些已经一去不复返了。在您的公司或个人保险将扣押视为盗窃或其他承保损失之前,请事先询问必须经过多长时间。如果这是一个灰色区域,以书面形式得到保险公司的积极响应,或者在保单上附加一个关于“失去使用”的附加条款,以覆盖消极响应。
报告任何损失。除了保险理赔,然后从备份数据的恢复,可能有法律义务报告一个深入的检查,其中硬件或媒体被检取或数据复制,即使密码没有透露。该CBP不公布其数据保留或保护的准则,所以没有什么会,例如,对于一个生意合伙协议或PCI的要求,以确定谁曾访问敏感数据的个人满足健康保险流通与责任法案要求。复制或捕捉到的数据可能会受到破坏披露的法律,如加利福尼亚州的SB 1386,这需要个人,其个人信息已经暴露或不能现在占的通知。
直到搜查和扣押的协议显示,或直到国会掴一些宪法意义上回CBP,这样的选项是唯一可行的响应。当我住在华盛顿,一名警察的不当行为越轨偶尔在该地区的其他许多地方和联邦执法机构之一的人员抓获。这比法院远快反馈回路,并导致敬业精神相当稳定的,高水平。也许CPB将抓住的,比如笔记本电脑,中东裔携带机密数据CBP官员和法医员工不会被清除看国防承包商。如果我们幸运的话,这样一个非常明显的回火将权情况宜早不宜迟。
乔恩Espenschied一直在安防行业发挥足够年内再次成为热心,漠不关心,愤世嫉俗,厌倦,内容和热情。他管理信息治理改革的一个主要的非政府组织,并继续对他的建议忽视了首席执行官,审计人员和系统管理员的一致好评。
了解关于这个主题的更多信息
这篇文章,“边境安全高于风险”最初是由《计算机世界》 。