根据70年代嬉皮士漫画Cheech & Chong的说法,“每个人都分享东西,伙计。”
也许如果它是杂草。但是,显然不是如果是网络威胁信息。
据推测,建立一个产业和政府之间这种共享的联邦框架多年来一直是所有相关各方——包括奥巴马总统、国会和不断受到越来越复杂攻击的私营企业——的首要任务。
但经过多年的建议,仍然没有结果。如果隐私和公民自由倡导者在当前的尘埃中占上风,那么今年也不会有任何结果。
最近的努力——参众两院都通过了几项法案——取得了不同程度的成功。众议院的两项法案——网络保护法案(PCNA)(第1560号决议)和2015年国家网络安全保护推进法案(NCPAA)(第1731号决议)——轻松通过并合并成一个名为第1560号决议。
提出的Cyber Cont,Cyber Cont,Cyber Confacting Act(S. 754)拟议作为国防授权法案的修正案获得了宣布支持这个月早些时候,奥巴马总统在白宫发表了讲话。
但它面临着来自隐私和公民自由组织的强烈反对,甚至来自联邦政府自己的国土安全部信明尼苏达州民主党参议员Al Franken警告说,该法案的共享条款“可能会扫除重要的隐私保护,特别是存储通信法案中限制某些提供商向政府披露电子通信内容的条款。”
委员会的私营部门对手在批评中更广泛而且钝。在一个信to the president dated July 27, 40 organizations and 31 individuals urged him to veto the bill, contending that it violated the administration’s own stated priorities to, “preserve Americans’ privacy, data confidentiality, and civil liberties and recognize the civilian nature of cyberspace.”
罗宾·格林是新美国开放技术研究所的政策顾问,也是签署国之一说CISA,“完全没有解决总统所陈述的信息共享立法的优先事项……这对隐私和安全来说是一辆失事的火车,国会只需要回到绘图板上。”
Lee Tien,高级员工律师和亚当斯主席在电子前沿基金会(也签署了这封信),说“分享”一词是“这样的委婉语。该法案是关于监测其他人的沟通,并将这些沟通或信息发送到美国政府的沟通。监视,换句话说。“
参议院本月处于休会期,参议院情报委员会主席、CISA的发起人理查德·伯尔(Richard Burr)参议员的工作人员没有回应置评请求。但该委员会副主席、加州民主党参议员黛安娜·范斯坦(Dianne Feinstein)表示,注意到今年3月,委员会报告该法案以14票对1票通过。她还抱怨说,反对者在传播有关此事的“错误信息”。
她说:“该法案的目标是让公司和政府自愿分享有关网络安全威胁的信息——而不是个人信息——以便更好地抵御攻击。”她还补充说,委员会已经“对去年的版本做了十几项重大修改”。有关私隐的条文十分重要,我相信,这些条文能解决有关条例草案较早时草拟的草案所引起的许多关切。”
对于任何关注这个问题的人来说,这听起来都像是似曾相识。
三年前,也就是2012年,一系列法案——最著名的是《网络信息共享与保护法案》(CISPA)——也成为了激烈的话题辩论,同样的问题。
虽然最初得到了行业的普遍支持,但当非营利互联网搜索公司Mozilla站出来反对时,这种支持开始减弱。该公司表示,CISPA“具有广泛而令人担忧的影响,远远超出了互联网安全的范畴。”该法案侵犯了我们的隐私,包括对网络安全的模糊定义,并授予在信息滥用方面过于宽泛的公司和政府豁免权。”
前美国代表和共和党总统候选人Ron Paul描述了它,“大哥撰写大,把私营行业的资源归功于邪恶的嘲笑美国人民的目的。”
中钢协的反对者认为,中钢协也存在同样的问题。这封给奥巴马的信称,它“未能保护用户的个人信息”。它允许政府共享大量个人数据,即使这些数据对于识别或应对网络安全威胁并不必要。”
信中说,该法案还授权各级政府“利用网络威胁指标调查与网络安全无关的犯罪,如抢劫、纵火、劫车,以及身份盗窃和侵犯商业秘密等”。
所有这些都引发了至少两个问题:有没有可能起草一项法案,在保护隐私和公民自由的同时,鼓励共享威胁信息?值得继续尝试吗?
根据Tien,这种立法并非真正必要。“一遍又一遍,我们听到参议员和白宫,庄严地坚持需要信息共享,”他说。“然而,他们甚至无法开始将信息的失败与我们读到的攻击和数据漏洞联系起来,例如目标,Neiman-Marcus,OPM(人事管理联邦办公室)或Ashley Madison。”
他说,问题在于安全薄弱。他援引了美国第三巡回上诉法院最近的3比0的判决。决定为了维护联邦贸易委员会(FTC)的权力,起诉温德姆连锁酒店松懈的安全措施,导致2008年和2009年的数据泄露,超过60万客户的数据被泄露,并导致1060万美元的欺诈性指控。
法院的书面裁决称,问题不在于“薄弱”的防火墙、IP地址限制、加密和密码,而是在许多情况下,没有“任何”安全措施到位。它尖刻地指出,温德姆在答复摘要中没有回应这一论点
“这是信息‘共享’无关紧要的又一个很好的例子,”田北俊说,“这是在寻找问题的解决方案。”或者它可能是解决其他问题的办法,但不是计算机安全的办法。”
Joel Harding是一名退休的军事情报官员和信息操作专家,他不同意Tien关于信息共享的价值。“我在网络安全方面的背景是从美国政府的角度出发的,所以我很自然地倾向于促进信息共享,以便更准确地描述发展情况,”他说,“我仍然有这种感觉。”
但他同意他和其他CISA批评人士的观点,即该法案没有包含“对可以在政府中共享信息的个人或企业提供足够的保护”。我们经常看到信息没有得到充分保护,敏感的个人和公司信息落入坏人之手。”
无论中钢协存在哪些缺陷,私营部门中还是有一些声音支持某种信息共享立法。其中之一,信息管理协会的先进实践委员会,已经成立了CIO开放安全联盟,其成员提倡it。
委员会主任玛德琳·韦斯(Madeline Weiss)说,联盟支持实现三个主要目标的立法:
-为组织创建论坛,以确定信息共享和网络弹性的最佳工具。
-建立一个匿名资料库,储存网上攻击及入侵的资料。
-支持为共享威胁信息的公司提供责任保护的联邦立法。
在一个帖子去年10月关于CIO Insight,Weiss注意到信息共享金额为“集体智能。我们需要连接人员和计算机,因此他们撰写的任何人,群体或计算机总是智能地行动。
玛德琳韦斯他是资讯管理学会先进实践委员会主任
该联盟的一名成员、《财富》1000强企业的首席信息官(CIO)拒绝透露姓名。他表示,该联盟的目标是“消除目前阻碍实体共享网络攻击和威胁的所有障碍。”要实现这一点,就需要立法保护他们在分享这些信息时免受任何形式的反弹、报复或法律风险。”
他说,这种需要的证据是法院对联邦贸易委员会起诉温德姆的裁决。他说,对于那些违规的机构,"除了高昂的律师费和名誉受损外,现在上诉法院已经确认,联邦贸易委员会也可以对你处以罚款。"
他认为,立法保护将“消除你知道自己被黑客攻击或被曝光到报案之间的时间差”。
这是否可能,谁也说不准。在2012年关于CISPA的辩论中,哈丁指出,“我们已经讨论这个问题近15年了。我甚至用它写了我的MBA论文。”
这篇文章,“网络分享法案分享太多,评论家说”最初是由方案 。