新法律将鼓励公共和私人部门之间共享网络安全信息,但这一数据保护法案会侵犯隐私吗?
Rod Dykehouse认为,现在的网络安全并不是公平的较量。和其他CIO一样,他看到越来越多的来自犯罪集团和外国政府的有组织的网络攻击。
为了打击这些攻击,Dykehouse表示,他愿意与联邦政府合作,共享信息,更快更有效地识别和防范网络攻击。
“现在的网络安全攻击,变得越来越复杂和精密,在我看来,这不是一个公平的较量,”Dykehouse说,他是宾夕法尼亚州立大学医学院和Hershey医疗中心的CIO。“如果只依靠我们自己的力量来应对这些攻击,我们肯定输。但通过信息共享,我们可以共同应对这些攻击。”
但是,Dykehouse也强调,他不会给予政府访问系统的无限权限。
“我们必须确保不仅能够保护我们的网络,也能保护客户隐私和信息机密,”他说。“所以我们不能完全开放权限。”
新法律引发安全信息共享的激辩论
国会预计将颁布一项新法律,创建一个系统,让私人部门和联邦政府之间,能够共享网络安全信息。但这一举措也存在争议,很多IT和网络安全领导人都在权衡共享信息带来的好处,和对于保护数据机密性的不利影响。
美国参议院在10月27日通过了网络安全信息共享法案(CISA),74票赞成,21票反对。
该法案旨在帮助企业,非营利机构和其他私人非政府机构,通过和国土安全部共享数据的网络威胁,打击网络犯罪。这些信息将用于识别趋势,确认有效的反击策略,帮助所有企业识别和对抗数据威胁攻击。
这一即将到来的“信息共享生态系统”将为所有参与者带来“更大的态势感知能力,更广阔的视野,如果在某处发生攻击,你就可以更快的采取防御技术,应用到系统中,” Michael Brown说, 他是EMC公司安全部门RSA的副总裁兼总经理, 同时也是Advanced Cyber Security Center的董事会成员。
这一法案也有很多批评者,尤其是隐私维护和公民自由团体都指责政府可以使用CISA来访问个人信息,而不需要搜查证。 但它也有支持者, Jerry Luftman就是其中之一,他是Global Institute for IT Management的总裁和教授。
“这个系统可以确保在攻击发生之前,就可以预知, …我认为它可以帮助企业,利大于弊, ”他说。
一些IT机构也站出来支持这一方案。 包括, the College of Healthcare Information Management Executives,Dykehouse就是其成员之一,和the Association for Executives in Health Information Security也在CISA通过后,表示支持。
这一新方案通过后,企业的IT领导人将不得不决定他们是否要共享信息,如果进行共享,他们要如何在共享数据的同时,保护个人信息,并且遵守现有的隐私法。
“私有企业担心的是,没有细节明确共享的信息到底是什么。” Timothy P. Ryan说,他是风险解决方案企业Kroll的网络安全部门总裁。
共享网络安全威胁数据的代价
Ryan说,理想情况下,私有企业和政府将在一个自动化的系统内共享网络安全威胁指数。这些信息应该实时传送,系统会自动分析数据的潜在威胁,这样IT和安全人员可以收到相应的警报,他补充道。
然而, 他和其他人都表示,很多公司并没有能够进行精密的,自动化的信息共享系统,所以很大程度上必须手动完成。因为最终将由企业决定分享的信息,很多公司仍然担心暴露私人数据或面对其他法律责任。律师,顾问,IT专业人员和安全领导人都表示,公司担心,如果他们共享网络安全威胁指数,公众就会注意到他们的网络安全漏洞,或他们受到攻击的这一事实。
他们也担心通过共享网络安全信息,将会面对政府的审查,从而发现违反其他法律,比如Health Insurance Portability and Accountability Act法案。(私有企业希望在这项法案中,可以给予共享网络安全数据的企业,在违反其他法律时,一些豁免权。)
公司也担心因为同意共享信息,可能违反隐私法,而面临法律风险。同时,因为不同意参与这一共享系统,他们也可能面对法律诉讼:例如,公司可能会因为没有全力防止网络攻击,受到过失起诉,律师Julia Jacobson说, 她是McDermott Will & Emery LLP的合伙人,精通隐私和数据保护法律。
目前的法案,并没有强制要求私人企业共享他们的网络安全信息。如果他们选择参与和共享,他们需要共享威胁指数,比如可疑的域名或文件名。
然而,Brown、Jacobson和其他人都表示,最后企业共享的信息可能会超越这些内容,包括个人身份信息。因为CISA要求分享和威胁相关的信息,他们认为一些公司可能将个人身份信息和其他机密或专利数据也认定为这类信息。
“网络攻击的复杂性需要大量的信息来进行分析,”Christos Dimitriadis说,他是ISACA协会的国际主席,他是希腊公司INtrALOT的信息安全总监。
和别人一样,他也表示,企业必须实施战略,实现对机密和专利信息的持续保护。
“任何企业都应该保持这样一种平衡,”他说。