网络安全信息共享法(中钢协)已成定局。但关于其安全价值和隐私影响的争论却没有。它挥之不去,有时甚至比以往任何时候都更加强烈。
它成为法律的事实本身就是具有历史意义的——有很多这样的例子尝试在国会,跨越近十年,制定一项法案,该法案将在政府和私营部门实体之间分享网络威胁指标,而不为公司或危害个人隐私创造责任风险。
而中钢协的支持者表示,中钢协在政治上尽可能接近于实现这些目标。因此,尽管他们没有沾沾自喜,但在该法案最终于12月底在国会获得通过,并被塞进2016年的综合拨款之后,他们感到如释重负和欣慰比尔(第1,728-1,863页)并重新命名为“2015年的网络安全法”。
他们表示,在打击从企业数据泄露到其他网络犯罪、经济间谍活动和恐怖主义的一切行动中,该计划为打破平衡、使之有利于好人提供了真正的希望。
对于电子交易协会(Electronic Transactions Association)负责政府关系的高级副总裁斯科特•塔尔博特(Scott Talbott)来说,共享网络威胁指标的价值应该是显而易见的。
“价值是每个人都可以提醒网络威胁,并在实现和传播之前采取预防性对策,”他说。“在CISA之前,只有在网络威胁完成损坏后,才能采取纠正措施。CISA允许各公司作为整个经济的预警系统。“
斯科特塔尔巴罗特,政府关系,电子交易协会高级副总裁
红枝法律咨询公司创始人、美国国土安全部(DHS)前政策副助理部长保罗·罗森茨威格(Paul Rosenzweig)说,反对者抱怨CISA等同于一项监视法案,“没有根据现实的评估”。
“每种法律都有能力被滥用,”他说:“但是,CISA是一个监督法案,就像说出创造食品券的法律是肥胖的账单。”
但对对手的投诉 - Cisa递给政府一个主要的监视工具 - 仍然是持久和大肠杆菌。
“我认为这个法案是一个监视法案从一开始,”贾斯汀•哈维说,忠诚的网络安全方案,并称他是可疑的,表示该法案的意图——利用集体智慧来警告潜在的网络攻击,并可能发生之前阻止他们——将结果。
他说,更有可能的是,这种政府监测 - 在前NSA承包商之前由国家安全局(NSA)进行的公民汇集爱德华·斯诺登暴露了它,就会回来。
”Under the guise of ‘sharing threat intelligence,’ this bill allows companies to wholesale collect what is known as a ‘cyber threat indicator’ and pass it along for review to determine if it is a threat, or if the U.S. government has knowledge of the indicator,” he said.
贾斯汀哈维, CSO, Fidelis Cybersecurity
哈维指出,一些拟议的修正案,要求收紧隐私条款 - 由Sen.Al Franken(D-Minn。)将需要严格定义“网络威胁指标” - 未能通过。
他说,该修正案的失败“意味着公司和美国政府可以随时确定什么是网络威胁指标。”
他说,留下了广泛的问题,到政府可以决定加密密钥是一种威胁。“没有定义这些指标是什么,政府可以决定有什么相关性,”他说。
这也与MetricStream专业服务副总裁戴维•威廉姆森(David Williamson)有关。他说,法案中的激励措施是为公司提供的,“通过无法证明其不构成威胁的人的信息——我们都遵守了吗?”-到国土安全部,然后到国家安全局,在那里这些信息将与联邦政府保存的公民的其他信息相联系。
他说:“一旦在各个联邦机构之间进行汇总、链接和共享,这些信息的用途就没有任何限制。”
“为未来而战”(Fight For The Future)运动负责人埃文·格里尔(Evan Greer)在一份事先准备好的声明中说,收集到的数据“不可避免地会被用于调查、起诉和监禁更多的人,这在未能改善安全的同时加深了我们社会的不公正。”
埃文·格里尔,竞选总监,为未来而战
以及该公司安全解决方案总监Ben DesjardinsRadwareCisa表示,CISA甚至可以破坏安全。政府未能保护自己的工人隐私的政府收集和囤积威胁数据(对灾难性的黑客攻击的提及人事管理办公室他说,去年损害了估计的2150万当前和前一名联邦工人的个人信息),“将展开攻击表面并创造一个高目标宝库的数据。”
参议院情报委员会副主席、CISA发起人之一、加州民主党参议员戴安·范斯坦(Dianne Feinstein)曾多次抱怨该法案的反对者一直在“散布有关该法案的错误信息”。她说,在参议院10月份以74票赞成、21票反对通过该法案之前,该法案经过了数次修改,增加了“实质性的”隐私条款。
但是像电子自由基金会(EFF)这样的隐私倡导者仍然坚持认为最终法案,“没有解决任何核心的隐私问题。”
该组织在一份声明中表示,即使经过了一些最终修订,《钢铁工业安全法案》“仍是一项存在根本性缺陷的法案,已经存在宽泛的豁免条款、模糊的定义和咄咄好斗的间谍机构”。
新美国开放技术研究所(New America’s Open Technology Institute)的政策顾问罗宾·格林(Robyn Green)经常将其称为“隐私和安全方面的火车残骸”。
人们可能会争辩说,美国公民的PII(个人身份信息)已经在政府之手 - 政府是问题或保留社会安全号码等标识符的记录,驾驶执照,财产行为,护照等。
但哈维表示,隐私风险与基本的PII无关。“这是关于我们在线活动的元数据和数据,”他说。“企业和政府将决定什么被列为一个指标,如果这恰好是你所有的浏览历史,未加密——甚至可能是加密的——通讯,明文电子邮件等等,这是法案允许的。”
支持者说这夸大了隐私威胁。他们注意到,威胁指标的门户网站将不被军事或情报机构运营,而是由民用DHS进行。
苏珊亨西省的立法博客总裁兼制定博客的编辑,写道最近贴文作为对奥巴马总统的回应,国土安全部的信息共享门户——自动指标共享(AIS)系统——“已经启动并运行了数月”总统政策指令21和行政命令163636。
她说DHS设计了门户网站来消除个人信息。“如果实体尝试共享未在指定的门户字段内的信息,则在到达DHS之前将自动删除数据,”她写道。“想想一个在线表格,例如,制定航班预订:如果您尝试在信用卡领域进入您最喜欢的动物,它就不起作用。”
她说,这将“摄入本身不属于威胁指标的PII的风险降到最低”。
反对者仍不相信。威廉姆森说,在与其他机构共享部分PII之前,剥离部分PII是“徒劳的”。“一旦其他公共和私人数据丰富起来,政府机构将获得有关其公民的几乎无限信息。”
德斯贾丁斯同意了。他说:“监控和威胁监控之间的区别真的很模糊。”“将被划分为网络威胁指标的模糊语言让隐私倡导者担心,这是一个完全开放的途径,可以分享一切,希望找到一些被认为是相关的东西。”
威廉姆森说,他最担心的是,未来各国政府将如何使用中国钢铁工业协会授予的权力。他说:“联邦调查局和其他安全组织迅速将占领华尔街运动列为恐怖组织。”“明天的‘恐怖分子’会是谁?”左边?的对吧?是谁让现任政府下台?美国国税局在2014年调查了茶党。未来谁会不受欢迎?”
哈维说,数据隐私是一个“全球性问题”,不仅是企业、政府和数据代理,谷歌、Facebook和几乎所有提供互联网服务的网站也是如此。
美国需要2020欧洲杯夺冠热门跟随欧盟的脚步来定义隐私保护法。欧盟有GDP.(一般资料保障规例)。我们在哪里?”
这个故事,“信息共享法案通过,但隐私辩论继续”最初是由方案 。