奧巴馬提議數(shù)據(jù)泄露30天通報 專家紛紛置疑

責(zé)任編輯:editor007

2015-01-19 17:57:26

摘自:51CTO

奧巴馬總統(tǒng)前日在對聯(lián)邦貿(mào)易委員會的講話中提出一項新法案,希望設(shè)立數(shù)據(jù)泄露30天通報制度。例如,關(guān)注數(shù)據(jù)隱私的美國著名律所貝克豪斯律師事務(wù)所的司法經(jīng)驗顯示

奧巴馬總統(tǒng)前日在對聯(lián)邦貿(mào)易委員會的講話中提出一項新法案,希望設(shè)立數(shù)據(jù)泄露30天通報制度。

奧巴馬提議數(shù)據(jù)泄露30天通報 專家紛紛置疑

他說,今年數(shù)起數(shù)據(jù)泄露事件,包括最近的索尼黑客事件,使我們的經(jīng)濟(jì)更加脆弱,更易受侵害。

“今天,我的重點(diǎn)在于,怎樣更好地保護(hù)美國消費(fèi)者不受身份盜用的侵害,怎樣更好地保護(hù)我們的隱私,包括在校學(xué)生們的隱私。”

講話伊始,奧巴馬便指出,幾乎每個州都有各自的法律條文規(guī)定了若遇數(shù)據(jù)泄露事件,應(yīng)在何時以怎樣的方式通報公眾。

例如,關(guān)注數(shù)據(jù)隱私的美國著名律所貝克豪斯律師事務(wù)所的司法經(jīng)驗顯示,從康涅狄格州的5天到俄亥俄州、佛蒙特州、威斯康星州的45天,通報時限差異很大。

“不止是消費(fèi)者感到困擾,公司企業(yè)也很無措,而且,為遵守這堆雜亂的法規(guī)耗費(fèi)巨大。”奧巴馬說。“有時候,公眾甚至直到收到賬單才知道自己的信用卡信息被盜了,而此時為時已晚。”

云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示,一套通行的法律,即使有些苛刻的條文,也會受到業(yè)界很多人的歡迎。

“我們一直在尋求一致性,如果可以在國家范圍內(nèi)形成更高的一致性,將會給業(yè)界帶來好處。”

此項提案提出了一個統(tǒng)一的30天通報時限,從數(shù)據(jù)泄露被發(fā)現(xiàn)那一刻起計時,30天內(nèi)必須將泄露情況通報給公眾。

奧巴馬稱:“我們還將補(bǔ)完法律上的漏洞,讓盜竊倒賣美國公民身份的罪犯無處可逃,即使逃掉海外也能將其追捕歸案。”

他還提出了《消費(fèi)者隱私權(quán)利法案》以保障消費(fèi)者有權(quán)決定自己的個人數(shù)據(jù)如何被公司企業(yè)所用,以及限制學(xué)生信息使用的《學(xué)生數(shù)字隱私法案》。

總統(tǒng)號召商業(yè)巨鱷和消費(fèi)者權(quán)益擁護(hù)者共同努力推進(jìn)這些法案的通過。“在這信息時代,保護(hù)我們的信息和隱私,不應(yīng)該只是某個黨派的事,而是我們美國人共同的事業(yè)。”

然而,之前類似法令屢遭腰斬,即使現(xiàn)在參眾兩院多數(shù)席位掌握在反對黨手中,留給此次法案的通過機(jī)會也不大。美國網(wǎng)絡(luò)安全協(xié)會SANS Institute新興趨勢理事John Pescatore如是說。就算兩院都贊成此項法案,他們也會將其效力削減到讓總統(tǒng)無法接受的程度。而且,那些重要的條款,比如數(shù)據(jù)泄露的具體定義之類 的,都還沒公布呢。

Pescatore問道:“數(shù)據(jù)泄露僅指簡單的數(shù)據(jù)遺失?某人丟了一卷磁帶找不回來了也要進(jìn)行通報?還是說有必要證明遺失的信息已被別人看過才能算?數(shù)據(jù)泄露的定義可是各州不同的。”

剛被網(wǎng)絡(luò)安全公司金雅拓收購的SafeNet首席戰(zhàn)略官Tsion Gonen說:“泄露事件各不相同。比如說,發(fā)生了數(shù)據(jù)載體遺失,卻仍然有加密等技術(shù)手段在保護(hù)數(shù)據(jù)不被攻破的可能性也是有的。”

賬戶管理軟件開發(fā)公司Thycotic Software的高級安全架構(gòu)師Kevin Jones稱:“30天是個咄咄逼人的窗口期。企業(yè)在公開泄露事件之前,得先全面調(diào)查泄露的程度,修復(fù)現(xiàn)行的安全漏洞。30天這么短的時限可能導(dǎo)致企業(yè)在 事件尚未調(diào)查清楚之前就承受不住壓力而公布,進(jìn)而引來更多的攻擊。”

安全公司Prelert的市場和產(chǎn)品戰(zhàn)略副總裁Kevin Conklin表示:“現(xiàn)在似乎沒什么東西可以刺激企業(yè)盡早發(fā)現(xiàn)數(shù)據(jù)泄露。一般而言,企業(yè)在200天后才會發(fā)現(xiàn)泄露。此時,對用戶的侵害已經(jīng)形成。強(qiáng)制企業(yè)盡早通報泄露事件很重要,但這些企業(yè)得主動采取措施盡早發(fā)現(xiàn)泄露。”

應(yīng)用軟件安全咨詢公司Cigital的總經(jīng)理Drew Kilbourne補(bǔ)充道:“急于披露泄露事件可能妨礙到司法部門和其他組織的調(diào)查。我們通常不立即披露泄露事件,以防警醒攻擊者,同時也為研究攻擊行 為,獲取新型竊取技術(shù)、攻擊手段、攻擊源爭取時間。此項法案防止不了數(shù)據(jù)泄露,也帶不來安全。數(shù)據(jù)泄露通報更多的是留住客戶和贏取公眾理解。更快的通報可能不過是粉飾太平而非有效舉措。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號