碎片化監(jiān)管難以應對重大網(wǎng)絡安全攻擊,制定《國家數(shù)據(jù)泄露通報法》勢在必行。
據(jù)近日專家小組在2021 RSA大會上的討論,目前美國還沒有頒布任何關于發(fā)現(xiàn)安全漏洞時進行違規(guī)事件通報的權威性或國家級法律。但法條的缺失已經(jīng)引起重視,并有望在不久的未來得到解決。
知名律師事務所Debevoise & Plimpton LLP的合伙人Luke Dembosky稱,美國目前的網(wǎng)絡違規(guī)事件通報工作主要遵循法律及政策中的某些碎片化方針,而且具體要求也隨司法管轄區(qū)的不同而存在巨大差異。他指出,目前全美各州在發(fā)生數(shù)據(jù)泄露事件時是否需要向州當局及受影響個人發(fā)布通報方面,都有著自己的一套管理規(guī)則。
Dembosky表示,“這樣的現(xiàn)狀給跨州開展業(yè)務的公司造成了巨大困擾,迫使他們需要逐一弄清各個州到底該遵循哪些違規(guī)事件通報義務。”
SolarWind事件或?qū)⒋呱?/p>
首部國家數(shù)據(jù)泄露通報法
美國司法部國家安全局副檢察長Adam Hickey指出,近年來發(fā)生了一系列引人注目的安全違規(guī)事件,并給多個行業(yè)的關鍵基礎設施造成嚴重沖擊。如果沒有一套統(tǒng)一的通報框架,聯(lián)邦政府就無法隨時獲取所有必要數(shù)據(jù)與分析結論。
Hickey表示,“目前,我們還很難準確掌握安全事件中的詳盡細節(jié)。”
專家小組還就近期備受矚目的SolarWinds安全違規(guī)事件進行了探討。聯(lián)邦調(diào)查局副局長Tonya Ugoretz評論稱,像國家數(shù)據(jù)泄露通報法這樣的法令之所以遲遲不能出臺,往往就是因為缺少有份量、影響廣泛的“大事件”。而SolarWinds顯然打破了一片寂靜,為這方面立法敲響了必要性的警鐘。
Ugoretz表示,SolarWinds事件是由安全廠商FireEye率先發(fā)現(xiàn)并上報的,而后者自己也成為此次違規(guī)的受害者。
“FireEye公司做出了正確的反應。他們幾乎立刻就注意到了攻擊者高超的入侵能力,并馬上與政府方面取得了聯(lián)系。”
與執(zhí)法部門合作解決問題,正是彰顯大家嚴肅態(tài)度并直面挑戰(zhàn)的最好方式。
Adam Hickey
她還補充道,雖然快速上報有助于及時發(fā)現(xiàn)問題并緩解事件后果,但大部分安全違規(guī)案例并沒能被立即曝光。Hickey認為這正是問題的核心所在:正是FireEye迅速行動并坦率承認問題的存在,聯(lián)邦政府才得以介入調(diào)查并做出響應,最終限制了風險的進一步蔓延。
為什么需要國家數(shù)據(jù)泄露通報法
Hickey強調(diào),必須制定國家數(shù)據(jù)泄露通報法以幫助執(zhí)法機構快速了解案情,并發(fā)布指導信息以保護潛在受害者。
Hickey還指出,出于種種現(xiàn)實原因,企業(yè)如今要比以往任何時候都更愿意聯(lián)系政府并配合執(zhí)法部門的工作。
Hickey解釋稱,“過去,很多企業(yè)把數(shù)據(jù)泄露看成是家丑,總是不愿對外宣揚。但現(xiàn)在,人們開始意識到自己的遭遇已經(jīng)成為整個計算機網(wǎng)絡的一部分,如果不積極應對很可能引發(fā)毀滅性的后果。”
Hickey認為,在意識到數(shù)據(jù)泄露事件之后,組織關注的不僅是立即防御、同時也會考慮如何建立安全彈性和維護自身聲譽。
“在這種情況下,與執(zhí)法部門合作解決問題,正是彰顯大家嚴肅態(tài)度并直面挑戰(zhàn)的最好方式。”
國家網(wǎng)絡違規(guī)通報法的基本方針
目前,各專家小組成員已經(jīng)就國家網(wǎng)絡違規(guī)通報法的一項核心目標達到共識,即必須降低違規(guī)通報行為的執(zhí)行難度,至少要低于目前拼湊法律與政策碎片的方式。
Ugoretz強調(diào)稱,就違規(guī)事件發(fā)布明確的國家標準將幫助企業(yè)清晰理解自己需要披露哪些信息,在猛烈的網(wǎng)絡攻勢之下減少通報帶來的額外負擔。她希望這部法律能夠幫助受害者及執(zhí)法人員迅速了解當前事態(tài),并據(jù)此防止問題的進一步擴散。
Ugoretz最后總結道,“網(wǎng)絡攻擊活動就像是連環(huán)殺手犯下的謀殺案,一次攻擊之后必須跟著下一次攻擊。好在對方總會在犯罪現(xiàn)場留下線索,而新的通報法將幫助我們解析這些線索,搶在兇手再次犯案之前提醒潛在的受害者們保護好自己。”
