CISA隱私問題尚有調解的空間
盡管有對隱私問題的顧慮,參議院還是通過了網絡信息共享法案,但專家表示這些問題仍然有機會可以解決,因為CISA會與眾議院通過的類似法案進行協調。
今年4月,眾議院通過了兩項網絡共享法案:2015網絡保護法案(PCNA)和國家網絡安全保護改進法案(NCPAA)。但這兩個法案結合原有PCNA成為H.R.1560網絡保護法案的第一部分,NCPAA成為第二部分。
前白宮網絡安全高級主管、Venable LPP網絡服務總經理表示,與CISA相比,PCNA具有更好的隱私和責任保護,特別是在應該收集哪些數據以及可以對這些數據做什么的方面。
“眾議院的法案更加明確,這些職責應該如何安排到位,以及美國國土安全局在最小化這些數據中發揮的作用,”Schwartz表示,“而參議院的法案還不太明確這一點,對于允許什么和不允許什么,參議院法案的結構很混亂,并且,它讓各聯邦機構來解釋什么被允許以及什么不被允許。”
前白宮網絡安全顧問,現任TruSTAR Technology公司聯合創始人兼首席執行官Paul Kurtz表示,這些法案都引發隱私顧慮,但眾議院的PCNA比CISA更有優勢。
“眾議院法案對網絡事件信息類型提供了更好的定義,并且,這些信息的共享可以幫助阻止攻擊,促進企業之間對如何緩解攻擊展開討論,”Kurtz稱,“眾議院的法案也被視為具有更強的隱私保護條款,因為其中定義了對刪除個人身份信息的網絡事件數據規定。”
Privacy Professor公司首席執行官Rebecca Herold表示,調解的關鍵是整合PCNA的隱私保護到CISA中以緩解隱私問題。
“PCNA規定,如果個人數據沒有必要進行分析,則應該刪除。它還允許,當政府機構故意或蓄意違反隱私及公民自由準則時,個人可以對聯邦政府提出訴訟。NCPPA要求個人數據只能用戶網絡安全目的,”Herold稱,“這些都是真正的最低保護,但也是重要和必要的。”
CloudPassage公司首席安全官兼主席Carson Sweet并不樂觀,他不認為調解會帶來任何“可接受的”網絡安全立法。
“我不認為眾議院的法案比CISA更有‘優勢,’”Sweet表示,“對于隱私保護,這兩者都有令人顧慮的地方,它們都包含條款允許商業實體發布個人隱私信息,并且無視這一事實。在另一方面,很多安全供應商(包括聯邦承包商)非常擔心這些條款會讓他們負責任,盡管他們只是在做自己的工作。”
調解的障礙
Schwartz表示,他預計調解會發生在2016年2月之前的某個時候,但他警告說,眾議院和參議院目前都還沒有進行交談。并且,在眾議院出現新議長之前,我們都很難預測調解的結果。
“他們還沒有談過呢,我認為這在很大程度上取決于眾議院領導層如何改組,”Schwartz稱,“我們還不知道當眾議院新一屆領導班子出現的時候,情報委員會會是什么樣。”
Herold同意稱,在眾議院領導層確定后才會采取行動,但他指出,提交事物給總統的壓力可能會讓CISA通過批準。
“眾議院可能會決定他們想要在新議長任職之前解決這件事情,議長John Boehner會希望繼續‘清理工作’,”Herold說,“他可能會推動眾議院簡單地參照參議院的版本,以討好那些推動網絡安全法案的各方。”
六月份,眾議院國土安全委員會主席兼NCPAA支持者Michael McCaul表示,參議院還需要做很多工作以讓CISA獲得眾議院批準。
“我擔心的是他們有NSA信息共享部分,在眾議院的很多方面來看,這都是有問題的,”McCaul稱,“我警告過他們,如果這種法案回來,將不會批準--這是政治現實。”
根據Schwartz表示,已通過的CISA版本仍包含NSA信息共享部分,他認為這是CISA在調解過程中“重大問題”。
“眾議院版本很明確的是,你不能直接與NSA共享信息,而參議院版本沒有明確這一點,還有一部分表明所有信息需要傳遞到國土安全部,并有另一部分稱,當與任何聯邦機構共享信息時,你會有責任保護。所以,我認為這對于眾議院是混亂而不能接受的,這是必須解決的重大問題。”
McCaul告訴SearchSecurity,他期待與參議院共同參與調解,但沒有回答該法案中可能引起爭論的特定部分問題。
“我祝賀參議院通過他們的網絡安全法案。在4月份,眾議院以類似的兩黨壓倒性投票通過了我們的版本,”McCaul代表眾議院國土安全委員會表示,“我們期待與參議院開會來確定我們的分歧,并制定最終的法案,以確保美國民眾的隱私性以及更好地保護我們國家的網絡。”
原有PCNA支持者、眾議員Devin Nunes對于調解的具體細節也拒絕發表評論,但表示“在今年年底之前,眾議院和參議院會召開會議,對這些法案之間的區別進行談判。”
白宮發言人Eric Schultz告訴記者,美國總統奧巴馬也“希望參議院和眾議院可以盡可能地合作,盡快將最好的法案提交到總統辦公桌。”
Sweet稱,雖然CISA和PCNA在表面很類似,但主要差別在于細節。
“兩者之間的區別仍然很明顯,并且,在某些情況下,受到其他議程的驅動。這兩者非常難以進行協調,”Sweet表示,“我的猜測是,整套立法將會廢除,或會提出新的立法。”
Kurtz更希望調解可以實現。
“事實上,所有各方都同意,共享網絡事件數據是解決網絡領域巨大挑戰的關鍵,我們需要法律來消除企業之間共享的障礙,”Kurtz表示,“而事情變得復雜的地方是,與政府共享網絡事件數據的情況。同時,對于什么是網絡事件數據的定義以及刪除個人身份信息的規定都需要進行審慎協調。”
Herold并沒有對調解的可能性發表評論,而是強調其必要性,因為CISA將是數據安全和隱私性的破壞者。
Herold稱:“國會成員對OPM泄露事故以及其自己數據的泄露普遍表示憤慨,如果國會繼續對專家提出的CISA安全和隱私問題充耳不聞,沒有責任,沒有明確或有效的隱私和安全保護要求,他們可能會看到比OPM泄露事故更嚴重的數據泄露。”
“國會需要聽取安全和因素專家的意見,并試圖了解風險和顧慮,最終明白這一點:在前期提出安全和隱私保護要求比后期的數據泄露更節約成本,并且對美國人民的傷害更小,我們不能等待不好的事情發生,然后嘗試修復它。”
