据70年代嬉皮的漫画切奇&崇,‘每个人都股份的东西,伙计。’
也许是大麻。但是,如果它是网络威胁信息,显然不是。
据称,对于那种行业之间共享和政府的联邦框架的建立已经是当务之急了三年的所有各方 - 奥巴马总统和国会是在恒定的,不断更复杂的攻击私营企业。
但是经过多年的提议,仍然没有结果。如果隐私和公民自由倡导者在当前的争论中占上风,今年也不会有任何结果。
最新的努力 - 在众议院和参议院两方几项法案 - 有不同程度的成功。二宫法案 - 的网络保护法案网络,或PCNA(H.R。1560)和2015年国家网络安全保护促进法,或NCPAA(H.R. 1731) - 轻松通过,并合并为一个标记H.R. 1560。
作为国防授权法案的修正案,参议院的网络信息共享法案(S. 754)被宣布支持白宫本月初。
但面临枯萎的隐私和公民自由组织的反对,甚至联邦政府自身的国土安全部,其在一信明尼苏达州民主党参议员Al Franken警告说,该法案的共享条款“可能会扫除重要的隐私保护,特别是存储通信法案中限制某些提供商向政府披露电子通信内容的条款。”
反对该法案的私营部门的批评更为广泛和直率。在一个信to the president dated July 27, 40 organizations and 31 individuals urged him to veto the bill, contending that it violated the administration’s own stated priorities to, “preserve Americans’ privacy, data confidentiality, and civil liberties and recognize the civilian nature of cyberspace.”
罗宾·格林是新美国开放技术研究所的政策顾问,也是签署国之一说过CISA,“完全没有解决总统所陈述的信息共享立法的优先事项……这对隐私和安全来说是一辆失事的火车,国会只需要回到绘图板上。”
电子前沿基金会(电子前沿基金会也签署了这封信)的资深律师、互联网权利亚当斯主席李田说,“共享”这个词是“如此委婉的说法”。这些法案是关于监控其他人的通信,并将这些通信或信息从或关于这些通信发送给美国政府。换句话说,就是监视。”
参议院休会这个月,参议员理查德·伯尔(R-NC),美国参议院情报委员会主席和赞助商CISA的,工作人员没有回复记者的置评请求。但参议员范士丹(d-Calif。)的,该委员会的副主席,指出在三月份,该法案已经报告了14-1投票的委员会进行。她抱怨说,对手们传播“误传”了。
她说:“该法案的目标是让公司和政府自愿分享有关网络安全威胁的信息——而不是个人信息——以便更好地抵御攻击。”她还补充说,委员会已经“对去年的版本做了十几项重大修改”。有关私隐的条文十分重要,我相信,这些条文能解决有关条例草案较早时草拟的草案所引起的许多关切。”
对于以下问题的人,这听起来像是似曾相识一遍。
三年前,也就是2012年,一系列法案——最著名的是《网络信息共享与保护法案》(CISPA)——也成为了激烈的话题辩论在同样的问题上。
虽然最初得到了行业的普遍支持,但当非营利互联网搜索公司Mozilla站出来反对时,这种支持开始减弱。该公司表示,CISPA“具有广泛而令人担忧的影响,远远超出了互联网安全的范畴。”该法案侵犯了我们的隐私,包括对网络安全的模糊定义,并授予在信息滥用方面过于宽泛的公司和政府豁免权。”
前美国众议员、共和党总统候选人罗恩·保罗将其描述为“老大哥,把私营企业的资源用于监视美国人民的邪恶目的。”
中钢协的反对者认为,中钢协也存在同样的问题。这封给奥巴马的信称,它“未能保护用户的个人信息”。它允许政府共享大量个人数据,即使这些数据对于识别或应对网络安全威胁并不必要。”
信中说,该法案还授权各级政府“利用网络威胁指标调查与网络安全无关的犯罪,如抢劫、纵火、劫车,以及身份盗窃和侵犯商业秘密等”。
所有这些都引发了至少两个问题:有没有可能起草一项法案,在保护隐私和公民自由的同时,鼓励共享威胁信息?值得继续尝试吗?
根据田北俊的说法,这样的立法其实没有必要。他说:“我们一再听到参议员和白宫严肃地坚持信息共享是必要的。”“然而,他们甚至不能开始把信息共享失败与我们所读到的攻击和数据泄露联系起来,比如塔格特(Target)、内曼-马库斯(Neiman-Marcus)、OPM(联邦人事管理办公室)或Ashley Madison。”
他说,问题在于安全薄弱。他援引了美国第三巡回上诉法院最近的3比0的判决。决定坚持美国联邦贸易委员会(FTC)有权起诉温德姆酒店连锁松懈的安全措施,导致违反2008年和2009年,妥协超过60万个客户的数据,并导致欺诈性收费10.6 $亿。
法院的决定书说,这个问题是不是“弱”防火墙,IP地址限制,加密和密码,但在地方,而在很多情况下,有没有“任何”的安全措施。它尖刻指出的是,“温德姆没有回应这一说法在其答复简短。”
“这是信息‘共享’无关紧要的又一个很好的例子,”田北俊说,“这是在寻找问题的解决方案。”或者它可能是解决其他问题的办法,但不是计算机安全的办法。”
乔尔·哈丁,一位退休的军事情报官和信息作战专家,与天不同意有关的信息共享价值。“我在网络安全的背景是从美国政府的角度看,让我自然地倾向于促进信息共享,以更准确地描绘的发展状况,”他补充说,“我仍然有这样的感觉。”
但他与他和其他批评家CISA同意,该法案不包含,“人或企业法人的信息可以在整个政府分享足够的保护。我们常常看到的信息没有得到充分保护和敏感的个人和企业信息进入坏人之手,”他说。
无论在中钢协的缺陷,也有私营部门支持某种信息共享立法的呼声。他们中的一个,该信息管理协会的高级实务委员会,形成了CIO联盟开放安全,其成员倡导它。
马德琳魏斯,该局主任说,该联盟主张立法,将实现三个主要目标:
-为组织创建论坛,以确定信息共享和网络弹性的最佳工具。
- 创建网络攻击和破坏信息的匿名数据库。
-支持为共享威胁信息的公司提供责任保护的联邦立法。
在一个岗位去年10月,Weiss在CIO Insight上指出,信息共享相当于“集体智慧”。我们需要将人与电脑连接起来,这样他们的集体行动就会比任何个人、团体或电脑都更聪明,”她写道。
马德琳魏斯主任,信息管理协会的高级实务委员会
该联盟的一名成员、《财富》1000强企业的首席信息官(CIO)拒绝透露姓名。他表示,该联盟的目标是“消除目前阻碍实体共享网络攻击和威胁的所有障碍。”要实现这一点,就需要立法保护他们在分享这些信息时免受任何形式的反弹、报复或法律风险。”
他说,这种需要的证据是法院对联邦贸易委员会起诉温德姆的裁决。他说,对于那些违规的机构,"除了高昂的律师费和名誉受损外,现在上诉法院已经确认,联邦贸易委员会也可以对你处以罚款。"
立法保护,他认为,将“消除当你知道你已经被入侵或暴露,当你举报的时间差。”
这是否可能,谁也说不准。在2012年关于CISPA的辩论中,哈丁指出,“我们已经讨论这个问题近15年了。我甚至用它写了我的MBA论文。”
这个故事,“网络共享账单股太多,批评人士说,”最初发表CSO 。