《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > RSAC2021現(xiàn)場熱議:美國該如何制定國家數(shù)據(jù)泄露通報法

RSAC2021現(xiàn)場熱議:美國該如何制定國家數(shù)據(jù)泄露通報法

2021-05-21
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 數(shù)據(jù)泄露 RSAC2021

  碎片化監(jiān)管難以應(yīng)對重大網(wǎng)絡(luò)安全攻擊,制定《國家數(shù)據(jù)泄露通報法》勢在必行。

  據(jù)近日專家小組在2021 RSA大會上的討論,目前美國還沒有頒布任何關(guān)于發(fā)現(xiàn)安全漏洞時進(jìn)行違規(guī)事件通報的權(quán)威性或國家級法律。但法條的缺失已經(jīng)引起重視,并有望在不久的未來得到解決。

  知名律師事務(wù)所Debevoise & Plimpton LLP的合伙人Luke Dembosky稱,美國目前的網(wǎng)絡(luò)違規(guī)事件通報工作主要遵循法律及政策中的某些碎片化方針,而且具體要求也隨司法管轄區(qū)的不同而存在巨大差異。他指出,目前全美各州在發(fā)生數(shù)據(jù)泄露事件時是否需要向州當(dāng)局及受影響個人發(fā)布通報方面,都有著自己的一套管理規(guī)則。

  Dembosky表示,“這樣的現(xiàn)狀給跨州開展業(yè)務(wù)的公司造成了巨大困擾,迫使他們需要逐一弄清各個州到底該遵循哪些違規(guī)事件通報義務(wù)?!?/p>

  SolarWind事件或?qū)⒋呱?/p>

  首部國家數(shù)據(jù)泄露通報法

  美國司法部國家安全局副檢察長Adam Hickey指出,近年來發(fā)生了一系列引人注目的安全違規(guī)事件,并給多個行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施造成嚴(yán)重沖擊。如果沒有一套統(tǒng)一的通報框架,聯(lián)邦政府就無法隨時獲取所有必要數(shù)據(jù)與分析結(jié)論。

  Hickey表示,“目前,我們還很難準(zhǔn)確掌握安全事件中的詳盡細(xì)節(jié)。”

  專家小組還就近期備受矚目的SolarWinds安全違規(guī)事件進(jìn)行了探討。聯(lián)邦調(diào)查局副局長Tonya Ugoretz評論稱,像國家數(shù)據(jù)泄露通報法這樣的法令之所以遲遲不能出臺,往往就是因為缺少有份量、影響廣泛的“大事件”。而SolarWinds顯然打破了一片寂靜,為這方面立法敲響了必要性的警鐘。

  Ugoretz表示,SolarWinds事件是由安全廠商FireEye率先發(fā)現(xiàn)并上報的,而后者自己也成為此次違規(guī)的受害者。

  “FireEye公司做出了正確的反應(yīng)。他們幾乎立刻就注意到了攻擊者高超的入侵能力,并馬上與政府方面取得了聯(lián)系。”

  與執(zhí)法部門合作解決問題,正是彰顯大家嚴(yán)肅態(tài)度并直面挑戰(zhàn)的最好方式。

  Adam Hickey

  她還補(bǔ)充道,雖然快速上報有助于及時發(fā)現(xiàn)問題并緩解事件后果,但大部分安全違規(guī)案例并沒能被立即曝光。Hickey認(rèn)為這正是問題的核心所在:正是FireEye迅速行動并坦率承認(rèn)問題的存在,聯(lián)邦政府才得以介入調(diào)查并做出響應(yīng),最終限制了風(fēng)險的進(jìn)一步蔓延。

  為什么需要國家數(shù)據(jù)泄露通報法

  Hickey強(qiáng)調(diào),必須制定國家數(shù)據(jù)泄露通報法以幫助執(zhí)法機(jī)構(gòu)快速了解案情,并發(fā)布指導(dǎo)信息以保護(hù)潛在受害者。

  Hickey還指出,出于種種現(xiàn)實原因,企業(yè)如今要比以往任何時候都更愿意聯(lián)系政府并配合執(zhí)法部門的工作。

  Hickey解釋稱,“過去,很多企業(yè)把數(shù)據(jù)泄露看成是家丑,總是不愿對外宣揚(yáng)。但現(xiàn)在,人們開始意識到自己的遭遇已經(jīng)成為整個計算機(jī)網(wǎng)絡(luò)的一部分,如果不積極應(yīng)對很可能引發(fā)毀滅性的后果?!?/p>

  Hickey認(rèn)為,在意識到數(shù)據(jù)泄露事件之后,組織關(guān)注的不僅是立即防御、同時也會考慮如何建立安全彈性和維護(hù)自身聲譽(yù)。

  “在這種情況下,與執(zhí)法部門合作解決問題,正是彰顯大家嚴(yán)肅態(tài)度并直面挑戰(zhàn)的最好方式?!?/p>

  國家網(wǎng)絡(luò)違規(guī)通報法的基本方針

  目前,各專家小組成員已經(jīng)就國家網(wǎng)絡(luò)違規(guī)通報法的一項核心目標(biāo)達(dá)到共識,即必須降低違規(guī)通報行為的執(zhí)行難度,至少要低于目前拼湊法律與政策碎片的方式。

  Ugoretz強(qiáng)調(diào)稱,就違規(guī)事件發(fā)布明確的國家標(biāo)準(zhǔn)將幫助企業(yè)清晰理解自己需要披露哪些信息,在猛烈的網(wǎng)絡(luò)攻勢之下減少通報帶來的額外負(fù)擔(dān)。她希望這部法律能夠幫助受害者及執(zhí)法人員迅速了解當(dāng)前事態(tài),并據(jù)此防止問題的進(jìn)一步擴(kuò)散。

  Ugoretz最后總結(jié)道,“網(wǎng)絡(luò)攻擊活動就像是連環(huán)殺手犯下的謀殺案,一次攻擊之后必須跟著下一次攻擊。好在對方總會在犯罪現(xiàn)場留下線索,而新的通報法將幫助我們解析這些線索,搶在兇手再次犯案之前提醒潛在的受害者們保護(hù)好自己。”

  


微信圖片_20210517164139.jpg



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。