尽管有对隐私问题的顾虑,参议院还是通过了网络信息共享法案,但专家表示这些问题仍然有机会可以解决,因为CISA会与众议院通过的类似法案进行协调。
今年4月,众议院通过了两项网络共享法案:2015网络保护法案(PCNA)和国家网络安全保护改进法案(NCPAA)。但这两个法案结合原有PCNA成为H.R.1560网络保护法案的第一部分,NCPAA成为第二部分。
前白宫网络安全高级主管、Venable LPP网络服务总经理表示,与CISA相比,PCNA具有更好的隐私和责任保护,特别是在应该收集哪些数据以及可以对这些数据做什么的方面。
“众议院的法案更加明确,这些职责应该如何安排到位,以及美国国土安全局在最小化这些数据中发挥的作用,”Schwartz表示,“而参议院的法案还不太明确这一点,对于允许什么和不允许什么,参议院法案的结构很混乱,并且,它让各联邦机构来解释什么被允许以及什么不被允许。”
前白宫网络安全顾问,现任TruSTAR Technology公司联合创始人兼首席执行官Paul Kurtz表示,这些法案都引发隐私顾虑,但众议院的PCNA比CISA更有优势。
“众议院法案对网络事件信息类型提供了更好的定义,并且,这些信息的共享可以帮助阻止攻击,促进企业之间对如何缓解攻击展开讨论,”Kurtz称,“众议院的法案也被视为具有更强的隐私保护条款,因为其中定义了对删除个人身份信息的网络事件数据规定。”
Privacy Professor公司首席执行官Rebecca Herold表示,调解的关键是整合PCNA的隐私保护到CISA中以缓解隐私问题。
“PCNA规定,如果个人数据没有必要进行分析,则应该删除。它还允许,当政府机构故意或蓄意违反隐私及公民自由准则时,个人可以对联邦政府提出诉讼。NCPPA要求个人数据只能用户网络安全目的,”Herold称,“这些都是真正的最低保护,但也是重要和必要的。”
CloudPassage公司首席安全官兼主席Carson Sweet并不乐观,他不认为调解会带来任何“可接受的”网络安全立法。
“我不认为众议院的法案比CISA更有‘优势,’”Sweet表示,“对于隐私保护,这两者都有令人顾虑的地方,它们都包含条款允许商业实体发布个人隐私信息,并且无视这一事实。在另一方面,很多安全供应商(包括联邦承包商)非常担心这些条款会让他们负责任,尽管他们只是在做自己的工作。”
调解的障碍
Schwartz表示,他预计调解会发生在2016年2月之前的某个时候,但他警告说,众议院和参议院目前都还没有进行交谈。并且,在众议院出现新议长之前,我们都很难预测调解的结果。
“他们还没有谈过呢,我认为这在很大程度上取决于众议院领导层如何改组,”Schwartz称,“我们还不知道当众议院新一届领导班子出现的时候,情报委员会会是什么样。”
Herold同意称,在众议院领导层确定后才会采取行动,但他指出,提交事物给总统的压力可能会让CISA通过批准。
“众议院可能会决定他们想要在新议长任职之前解决这件事情,议长John Boehner会希望继续‘清理工作’,”Herold说,“他可能会推动众议院简单地参照参议院的版本,以讨好那些推动网络安全法案的各方。”
六月份,众议院国土安全委员会主席兼NCPAA支持者Michael McCaul表示,参议院还需要做很多工作以让CISA获得众议院批准。
“我担心的是他们有NSA信息共享部分,在众议院的很多方面来看,这都是有问题的,”McCaul称,“我警告过他们,如果这种法案回来,将不会批准–这是政治现实。”
根据Schwartz表示,已通过的CISA版本仍包含NSA信息共享部分,他认为这是CISA在调解过程中“重大问题”。
“众议院版本很明确的是,你不能直接与NSA共享信息,而参议院版本没有明确这一点,还有一部分表明所有信息需要传递到国土安全部,并有另一部分称,当与任何联邦机构共享信息时,你会有责任保护。所以,我认为这对于众议院是混乱而不能接受的,这是必须解决的重大问题。”
McCaul告诉SearchSecurity,他期待与参议院共同参与调解,但没有回答该法案中可能引起争论的特定部分问题。
“我祝贺参议院通过他们的网络安全法案。在4月份,众议院以类似的两党压倒性投票通过了我们的版本,”McCaul代表众议院国土安全委员会表示,“我们期待与参议院开会来确定我们的分歧,并制定最终的法案,以确保美国民众的隐私性以及更好地保护我们国家的网络。”
原有PCNA支持者、众议员Devin Nunes对于调解的具体细节也拒绝发表评论,但表示“在今年年底之前,众议院和参议院会召开会议,对这些法案之间的区别进行谈判。”
白宫发言人Eric Schultz告诉记者,美国总统奥巴马也“希望参议院和众议院可以尽可能地合作,尽快将最好的法案提交到总统办公桌。”
Sweet称,虽然CISA和PCNA在表面很类似,但主要差别在于细节。
“两者之间的区别仍然很明显,并且,在某些情况下,受到其他议程的驱动。这两者非常难以进行协调,”Sweet表示,“我的猜测是,整套立法将会废除,或会提出新的立法。”
Kurtz更希望调解可以实现。
“事实上,所有各方都同意,共享网络事件数据是解决网络领域巨大挑战的关键,我们需要法律来消除企业之间共享的障碍,”Kurtz表示,“而事情变得复杂的地方是,与政府共享网络事件数据的情况。同时,对于什么是网络事件数据的定义以及删除个人身份信息的规定都需要进行审慎协调。”
Herold并没有对调解的可能性发表评论,而是强调其必要性,因为CISA将是数据安全和隐私性的破坏者。
Herold称:“国会成员对OPM泄露事故以及其自己数据的泄露普遍表示愤慨,如果国会继续对专家提出的CISA安全和隐私问题充耳不闻,没有责任,没有明确或有效的隐私和安全保护要求,他们可能会看到比OPM泄露事故更严重的数据泄露。”
“国会需要听取安全和因素专家的意见,并试图了解风险和顾虑,最终明白这一点:在前期提出安全和隐私保护要求比后期的数据泄露更节约成本,并且对美国人民的伤害更小,我们不能等待不好的事情发生,然后尝试修复它。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
加密委员会的形成能否解决隐私安全问题?
在之前举办的2016年RSA大会上,众议员Michael McCaul表示支持一项加密委员会法案,该法案可能会促成数字安全McCaul-Waerner委员会的创建。不过该委员会能否解决纠缠已久的隐私安全问题呢?
-
对于HIPAA合规来说,安全差距分析重要吗?
据消息称,医疗机构应该执行“差距分析”以找出HIPAA合规中的薄弱问题。这个主意行得通吗?我们又该如何执行合规差距分析呢?
-
CISA新动静:加入到预算综合法案中
网络安全信息共享法案(CISA)一直饱受安全和隐私倡导者的批评,但该法案被加入到紧急预算综合法案后,美国众议院和参议院通过了该法案。
-
一个法案(CISA)引发的争论
网络信息安全共享法(CISA)让安全行业感到不快,那么,CISA具体是什么?关于它产生了怎样的争论呢?