对于携带敏感信息的商务旅行者来说,情况继续恶化。美国第九巡回上诉法院做出了一项令人不安的裁决,美国海关和边境保护局(CBP)可以继续在没有授权的情况下通过美国公民和外国人持有的计算机数据进行搜索。在没有任何理由或怀疑的情况下,CBP可以检查、复制或没收任何返回美国的人携带的数据设备。我不认为被动服从是对这种情况的最好回应。
美国海关与边境保护局(CBP)将其最好的非线性思辨者投入到此案中,使法院相信例行边境检查的原则是“防止恐怖分子和恐怖分子武器进入美国”"可以通过搜索表达性的思想和个人交流来正确地服务。符合一种常见模式隐私权的侵蚀,儿童色情嫌疑人使用的CBP作为一个测试用例——有可能的原因和合理怀疑基于其他因素——来证明为什么可能的原因和合理怀疑将不必要的整个旅行的民众。
人们的反应非常迅速,而且非常负面;甚至臭名昭著的入侵行为美国运输安全管理局(TSA)也在网上发布了一条信息,与CBP的行动保持距离。在边境州和在国外工作的商人,以及普通的旅行者,现在有充足的理由对携带笔记本电脑、媒体播放器甚至手机通过美国边境检查感到紧张。毫不奇怪,如何避免或挫败检查的建议在互联网上到处都是。
协作
还有的CBP已经严重这一新的权力不自量力的危险,而公众的反应让我想起了一天,我学会了团队合作的真谛。在一个大的移动电话运营商90年代末,曾有过一系列的裁员,CEO和削减成本的措施,其中包括员工业绩更侵入式跟踪的串行洗牌。(由于网络泡沫正在扩大,电信世界是泄漏空气和流体。)
一天早上,在空荡荡的立方体农场和古拉格式的士气中,整个网络运营团队盛装出现了。极客的t恤和吊带裤、破烂的衬衫和牛仔裤、发带和高帮鞋,以及其他严肃的网络管理员的部落标记都不见了。在整个网络运营中心和附近的办公室里,有整洁的西装或裙子、漂亮的领带、熨平的衬衫和擦得锃亮的鞋子,有十多名员工,每个人都无可挑剔。
当被问及此事时,行政主管只是说,团队想要整顿一下自己的行为,因为公司正努力提高工作效率和专业水平。我不相信,我的导演也不相信。午饭后,主任向行动领导汇报发生了什么事,并一直说个不停。
最后,团队领导心软了:“我们中的一个有一个面试。”
道德?要小心什么样的合作,你使人产生,尤其是被认为是不公正或通过建立一个站不住脚的环境中操作的结果。
隐藏在人群中
如果美国海关与边境保护局鼓励广泛的合作反对其行为,这可能会对信息安全和国家安全产生反作用。对于个人和组织来说,有必要采取更多的安全措施,以防止数据机密性和完整性受到明显的新随机威胁,因为CBP没有公布关于如何检查、获取、保留或返回数据或设备的指导方针。
出于国家安全,样本的随机选择可能是统计信息收集或趋势分析的好工具,但没用在干草堆里找谚语恐怖针。它只是识别风险的错误的做法,因为它是在个人权利的成本高,它遵循随机搜查和检取的做法是不合理的,然后。
大部分的新闻报道已经接近这一法律未经证实的想法从容纳观点 - 包括计算机世界自家的步骤CBP检查过程中遵循的文章。然而,公众的普遍共识 - 即使是在评论到计算机世界文章上面链接反映 - 表示CBP数据的搜查和扣押表面看来是不合理的。
因此,用加密、混淆和数据共享技术进行反击是完全合适的。这种技术可以有效地隐藏任何有价值的东西,方法是将其混入其他旅行者和商务人士的人群中,或者将其置于安全进入美国之前无法获取的地方。
另一方面,我并不认为搜索是随机的。CBP可能有一种确认个人身份的协议,而且有可能一些CBP官员确实遵循了这些协议(尽管直接观察表明官员的个人偏好是最重要的因素)。然而,“侧写”已成为种族主义的委婉说法,因此很难表达危险人物从人群中被挑出来的过程。因此,这个过程是不一致和不透明的。从公众的角度来看,所有做有趣事情的人都面临着增加的和不可预测的风险。
冲突是任何人携带保护或加密的数据变得有趣,而且几乎没有人可以做到一边减轻从礼貌和不显眼。因此,没有人真的关注法律信息安全的要求,公司政策或者个人隐私利益必须假设他或她是一个目标。如果这一趋势继续在这个方向上,任何人都携带任何受保护的数据 - 外包合作伙伴,保健数据库或疾病概况,远程业务单元的旅行计划,或任何形式的野外工作的财务审计 - 成为检取和不受监督的膛线通过他们的数据。
掩藏你的资产
如果没有一个明确的决议,那些谁提供有价值的数据旅行别无选择,只能增加他们的预防和响应信息安全控制的水平 - 准备和被动性的组合。对于一些商务旅客与精明的IT支持,这可能只是意味着更密切地关注到现行的政策,并确保数据正确条块和备份。对于那些没有这样的安全,一些基本的指导方针是为了直到情况得到解决:
——定期备份所有信息。即使便携式计算机是一个人唯一的计算机,也要确保通过检查点携带的数据永远不是唯一的副本。在可行的情况下,企业IT服务的在线增量备份可能会起作用,但它通常很简单,只需自己用一个从未随身携带或同时携带的外接硬盘进行备份。
- 独立的企业和个人数据。一些出差在外的可携带两台笔记本电脑,但对于谁去过很多地方(和有关于个人使用公司的电脑的一些余地)大多数人来说,这可能只是意味着使用Internet Explorer自用的工作和Firefox。如果个人使用涉及显著数据存储或多个应用程序,虚拟机可能是正确的解决方案,可以很容易地在家中进行备份或复制到DVD送回通过单独的装置。
加密所有敏感信息。拒绝解密数据或给CBP密码可能导致癫痫发作或数据的复制,但是如果备份已得当,这应该有最小的影响 - 也许一个星期或一个月的工作。然而,这是不是有一些CBP取证更好的职员或通过客户的财务数据承包商刨着或配偶的法国海滩图片送秋波。常识和一堆的监管规定要求,金融,医疗和政府的数据进行加密保护,如果他们必须不惜一切进行。个人自由裁量权会的淫秽视频和有关标志和爆炸物的文档,但人们通常预先排除集合做出关于道路上娱乐自己的选择。在这两种情况下,加密你必须携带的东西。
——安全地检索远程数据。如果有些数据根本无法暴露在无授权审查和无文档暴露的风险之下,那么就尽可能使用远程加密方法查看和处理它。许多企业文档管理系统包括允许通过加密连接对文档和电子表格进行非缓存工作的工具。谷歌文档等服务和其他在线办公套件为个人使用提供了一个不错的近似值,前提是维护加密的会话并知道其他安全问题。
为设备投保损失险。美国海关与边境保护局目前还没有确定缴获的笔记本电脑何时会被归还;有些人再也没有回来。事先询问在你的公司或个人保险将扣押视为盗窃或其他损失前必须超过什么时间。如果这是一个灰色地带,以书面形式得到保险公司的积极回应,或者在保险单上附加一个使用损失附加条款的消极回应。
报告任何损失。除了保险索赔和从备份中恢复数据之外,可能还有法律义务报告侵入性检查,即在硬件或媒体被捕获或数据复制的地方,即使密码没有泄露。美国海关与边境保护局没有公布其数据保留或保护指导方针,因此,例如,没有任何东西可以满足健康保险可移植性和问责法案对商业合作协议的要求,或PCI要求,以确定哪些个人已经访问了敏感数据。复制或获取的数据可能会受到违反信息披露法的影响,比如加州的SB 1386,该法律要求向个人信息已被曝光或目前无法解释的个人发出通知。
在搜查和扣押协议被披露之前,或者在国会重新赋予CBP一些宪法意义之前,这些选择是唯一实际的反应。当我住在华盛顿时,一名警官的过分不当行为偶尔会被该地区其他许多地方和联邦执法机构的官员抓住。这是一个比法庭快得多的反馈循环,并导致了相当稳定和高水平的专业。比如,CPB可能会没收一家拥有中东血统的国防承包商的笔记本电脑,该承包商携带的机密数据是CBP官员和法医工作人员无法查看的。如果我们够幸运的话,这种显而易见的反效果会尽早扭转局面。
Jon Espenschied在安全行业工作了足够多年,他变得热情、厌倦、愤世嫉俗、厌倦、满足和热情起来。他为一家大型非政府组织管理信息治理改革,他的建议仍然被首席执行官、审计人员和系统管理员等人忽视。
了解更多关于这个话题
这个故事,“在边境风险的安全进取”的最初发表计算机世界 。