《网络安全信息共享法案》(中钢协)已经是板上钉钉的事了。但是关于它的安全价值和隐私含义的争论并不是这样的。它挥之不去,有时甚至比以往任何时候都更加强烈。
它已成为法律这一事实本身就具有历史意义——这样的例子不胜枚举尝试在近十年的时间里,国会起草了一项法案,允许政府和私营部门实体共享网络威胁指标,而不会给公司带来责任风险,也不会危及个人隐私。
据支持者说,中钢协在政治上尽可能接近于实现这些目标。因此,尽管他们没有沾沾自喜,但在去年12月下旬该法案最终在国会获得通过后,他们却松了一口气,感到欣慰。该法案被纳入了2016年的综合拨款计划(Omnibus Appropriations)比尔(1728 - 1863页),并重新命名为“2015年网络安全法案”。
他们说,在打击从企业数据泄露到其他网络犯罪、经济间谍活动和恐怖主义的一切行动中,这给人们带来了真正的希望,让天平向有利于好人的方向倾斜。
在电子交易协会(Electronic Transactions Association)负责政府关系的高级副总裁斯科特•塔尔博特(Scott Talbott)看来,共享网络威胁指标的价值应该是显而易见的。
他说:“这样做的价值在于,每个人都可以对网络威胁发出警报,并在它们出现和传播之前采取预防措施。”“在中国钢铁工业协会之前,只有在网络威胁造成损害之后,才能采取纠正措施。中钢协允许每家公司作为整个经济的早期预警系统。”
塔尔博特,电子交易协会政府关系高级副总裁
Red Branch Law & Consulting的创始人、美国国土安全部(DHS)负责政策事务的前副助理部长Paul Rosenzweig说,反对者认为CISA相当于一项监视法案的抱怨是“没有现实依据的”。
“每一项法律都可能被滥用,”他说,“但说CISA是一项监督法案,就像说创造食品券的法律是一项肥胖法案一样。”
但反对者抱怨称,中国钢铁工业协会向政府提供了一种主要的监控工具。
“我认为这个法案是一个监视法案从一开始,”贾斯汀•哈维说,忠诚的网络安全方案,并称他是可疑的,表示该法案的意图——利用集体智慧来警告潜在的网络攻击,并可能发生之前阻止他们——将结果。
他说,更有可能的是,美国国家安全局(NSA)在前NSA合同工之前就开始对公民进行政府监控——收集元数据爱德华·斯诺登把它暴露了,就会回来。
他说:“在‘分享威胁情报’的幌子下,这项法案允许公司大规模收集所谓的‘网络威胁指示器’,并将其传递给审查人员,以确定它是否构成威胁,或者美国政府是否了解这个指示器。”
贾斯汀哈维, CSO, Fidelis网络安全公司
哈维指出,一些旨在收紧隐私条款的修正案未能通过,其中一项由明尼苏达州民主党参议员艾尔·弗兰肯提出的修正案要求对“网络威胁指标”进行严格定义。
他说,该修正案的失败“意味着公司和美国政府可以随时确定网络威胁指标是什么”。
他说,这使得这个问题完全公开化,以至于政府可能决定,甚至连加密密钥都是一种威胁。“这些指标没有定义,政府可以决定哪些是相关的,”他说。
这关系到大卫·威廉姆森,在MetricStream的专业服务副总裁,以及。在该法案的激励,他说,是为公司,“通过对人不能证明不是威胁指标信息 - 做大家都遵循?- 国土安全部,然后到国家安全局,在那里将与联邦政府保持其公民的其他信息。
他说:“这些信息一旦在不同的联邦机构之间进行汇总、链接和共享,其用途就没有了限制。”
埃文·格里尔,争取未来的竞选主任,在一份声明中表示,将收集,数据“不可避免地被调查,起诉和监禁更多的人,深化不公在我们的社会,而不能提高安全性。”
埃文·格里尔“为未来而战”(Fight For The Future)
以及本·德斯贾丁斯,安全解决方案总监Radware他说,中钢协甚至可能破坏安全。政府收集和储存威胁数据,却未能保护自己员工的隐私(指的是灾难性的黑客攻击)人事管理处去年,估计有2150万现任和前任联邦工作人员的个人信息遭到泄露,他说,这将“扩大攻击面,创造一个高目标的数据宝库”。
参议员范士丹(d-加利福尼亚州),参议院情报委员会的副会长和中国钢铁工业协会的赞助商,抱怨的次数,该法案的反对者已经“谣传”了。她说,参议院今年10月74-21通道的法案之前,它已通过多次迭代去加“实质性的”隐私保护条款。
但是像电子自由基金会(EFF)这样的隐私倡导组织仍然坚持认为最终法案“不解决任何核心隐私问题。”
该组织在一份声明中表示,即使经过了一些最终修订,中国钢铁工业协会“仍然是一个存在根本性缺陷的法案,已经受到广泛的豁免条款、模糊的定义和咄咄逼人的间谍当局的影响。”
新美国开放技术研究所(New America's Open Technology Institute)的政策顾问罗宾·格林(Robyn Green)经常称其为“隐私和安全的列车残骸”。
有人可能会说,美国公民的PII(个人身份信息)已经掌握在政府手中了——由政府发布或保存标识符的记录,如社会安全号码、驾驶执照、财产契约、护照等。
但哈维表示,隐私风险与基本的PII无关。“这是关于我们在线活动的元数据和数据,”他说。“企业和政府将决定什么是分类指标,如果这恰好是你所有的浏览历史,未加密的——甚至可能是加密的——通信,明文电子邮件等,这是法案允许的。”
支持者说,这夸大了隐私受到的威胁。他们指出,共享威胁指标的门户网站不会由军方或情报机构运营,而是由民用国土安全部运营。
Lawfare研究所的总法律顾问、Lawfare博客的总编辑苏珊·亨尼西(Susan Hennessey)在一份声明中写道最近的帖子该DHS信息共享门户,被称为自动指示共享(AIS)系统“已经启动并运行了几个月,”响应奥巴马总统总统政策指令21和行政命令163636。
她说,国土安全部设计这个网站是为了消除个人信息。她写道:“如果一个实体试图共享不属于指定门户字段的信息,这些数据会在到达国土安全部之前被自动删除。”“设想一个在线表单,例如,预订航班:如果你试图在信用卡领域输入你最喜欢的动物,它就是不起作用。”
她说,这将“摄入本身不构成威胁指标的PII的风险”降到最低。
反对者持怀疑态度。剔除一些PII之前,它与其他机构共同为“无果而终,”威廉森说。“一旦它与其他公共和私人数据丰富,它会给政府机构关于其公民几乎无限的信息。”
德斯贾丁斯同意了。“监视和威胁监视之间的区别真的是灰色地带,”他说。“所谓的网络威胁指标的含糊其辞正确地引起了隐私权倡导者的关注,他们担心这是一种完全开放的分享一切的方式,希望找到一些被认为是相关的东西。”
威廉姆森说,他最担心的是未来的政府将如何使用由中国钢铁工业协会授予的权力。“联邦调查局和其他安全机构迅速分类的占领华尔街运动为恐怖组织,”他说。“谁可以明天的‘恐怖分子’是什么?左边?正确的?人谁投出当前政府?美国国税局调查了茶党在2014年谁在将来可能会成为不受欢迎呢?”
哈维说,数据隐私是一个“全球性问题”,不仅是对公司、政府和数据经纪人而言,也是对“谷歌、Facebook和几乎所有提供互联网服务的网站”而言。
在定义隐雷竞技比分私保护法方面,美国需要效仿欧盟的做法。欧盟有GDPR(一般资料保护规例)我们在哪里?”
这个故事,“信息共享法案通过,但隐私争论仍在继续”最初是由CSO 。