盡管有對(duì)隱私問(wèn)題的顧慮,參議院還是通過(guò)了網(wǎng)絡(luò)信息共享法案,但專家表示這些問(wèn)題仍然有機(jī)會(huì)可以解決,因?yàn)镃ISA會(huì)與眾議院通過(guò)的類似法案進(jìn)行協(xié)調(diào)。
今年4月,眾議院通過(guò)了兩項(xiàng)網(wǎng)絡(luò)共享法案:2015網(wǎng)絡(luò)保護(hù)法案(PCNA)和國(guó)家網(wǎng)絡(luò)安全保護(hù)改進(jìn)法案(NCPAA)。但這兩個(gè)法案結(jié)合原有PCNA成為H.R.1560網(wǎng)絡(luò)保護(hù)法案的第一部分,NCPAA成為第二部分。
前白宮網(wǎng)絡(luò)安全高級(jí)主管、Venable LPP網(wǎng)絡(luò)服務(wù)總經(jīng)理表示,與CISA相比,PCNA具有更好的隱私和責(zé)任保護(hù),特別是在應(yīng)該收集哪些數(shù)據(jù)以及可以對(duì)這些數(shù)據(jù)做什么的方面。
“眾議院的法案更加明確,這些職責(zé)應(yīng)該如何安排到位,以及美國(guó)國(guó)土安全局在最小化這些數(shù)據(jù)中發(fā)揮的作用,”Schwartz表示,“而參議院的法案還不太明確這一點(diǎn),對(duì)于允許什么和不允許什么,參議院法案的結(jié)構(gòu)很混亂,并且,它讓各聯(lián)邦機(jī)構(gòu)來(lái)解釋什么被允許以及什么不被允許。”
前白宮網(wǎng)絡(luò)安全顧問(wèn),現(xiàn)任TruSTAR Technology公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Paul Kurtz表示,這些法案都引發(fā)隱私顧慮,但眾議院的PCNA比CISA更有優(yōu)勢(shì)。
“眾議院法案對(duì)網(wǎng)絡(luò)事件信息類型提供了更好的定義,并且,這些信息的共享可以幫助阻止攻擊,促進(jìn)企業(yè)之間對(duì)如何緩解攻擊展開討論,”Kurtz稱,“眾議院的法案也被視為具有更強(qiáng)的隱私保護(hù)條款,因?yàn)槠渲卸x了對(duì)刪除個(gè)人身份信息的網(wǎng)絡(luò)事件數(shù)據(jù)規(guī)定。”
Privacy Professor公司首席執(zhí)行官Rebecca Herold表示,調(diào)解的關(guān)鍵是整合PCNA的隱私保護(hù)到CISA中以緩解隱私問(wèn)題。
“PCNA規(guī)定,如果個(gè)人數(shù)據(jù)沒(méi)有必要進(jìn)行分析,則應(yīng)該刪除。它還允許,當(dāng)政府機(jī)構(gòu)故意或蓄意違反隱私及公民自由準(zhǔn)則時(shí),個(gè)人可以對(duì)聯(lián)邦政府提出訴訟。NCPPA要求個(gè)人數(shù)據(jù)只能用戶網(wǎng)絡(luò)安全目的,”Herold稱,“這些都是真正的最低保護(hù),但也是重要和必要的。”
CloudPassage公司首席安全官兼主席Carson Sweet并不樂(lè)觀,他不認(rèn)為調(diào)解會(huì)帶來(lái)任何“可接受的”網(wǎng)絡(luò)安全立法。
“我不認(rèn)為眾議院的法案比CISA更有‘優(yōu)勢(shì),’”Sweet表示,“對(duì)于隱私保護(hù),這兩者都有令人顧慮的地方,它們都包含條款允許商業(yè)實(shí)體發(fā)布個(gè)人隱私信息,并且無(wú)視這一事實(shí)。在另一方面,很多安全供應(yīng)商(包括聯(lián)邦承包商)非常擔(dān)心這些條款會(huì)讓他們負(fù)責(zé)任,盡管他們只是在做自己的工作。”
調(diào)解的障礙
Schwartz表示,他預(yù)計(jì)調(diào)解會(huì)發(fā)生在2016年2月之前的某個(gè)時(shí)候,但他警告說(shuō),眾議院和參議院目前都還沒(méi)有進(jìn)行交談。并且,在眾議院出現(xiàn)新議長(zhǎng)之前,我們都很難預(yù)測(cè)調(diào)解的結(jié)果。
“他們還沒(méi)有談過(guò)呢,我認(rèn)為這在很大程度上取決于眾議院領(lǐng)導(dǎo)層如何改組,”Schwartz稱,“我們還不知道當(dāng)眾議院新一屆領(lǐng)導(dǎo)班子出現(xiàn)的時(shí)候,情報(bào)委員會(huì)會(huì)是什么樣。”
Herold同意稱,在眾議院領(lǐng)導(dǎo)層確定后才會(huì)采取行動(dòng),但他指出,提交事物給總統(tǒng)的壓力可能會(huì)讓CISA通過(guò)批準(zhǔn)。
“眾議院可能會(huì)決定他們想要在新議長(zhǎng)任職之前解決這件事情,議長(zhǎng)John Boehner會(huì)希望繼續(xù)‘清理工作’,”Herold說(shuō),“他可能會(huì)推動(dòng)眾議院簡(jiǎn)單地參照參議院的版本,以討好那些推動(dòng)網(wǎng)絡(luò)安全法案的各方。”
六月份,眾議院國(guó)土安全委員會(huì)主席兼NCPAA支持者M(jìn)ichael McCaul表示,參議院還需要做很多工作以讓CISA獲得眾議院批準(zhǔn)。
“我擔(dān)心的是他們有NSA信息共享部分,在眾議院的很多方面來(lái)看,這都是有問(wèn)題的,”McCaul稱,“我警告過(guò)他們,如果這種法案回來(lái),將不會(huì)批準(zhǔn)--這是政治現(xiàn)實(shí)。”
根據(jù)Schwartz表示,已通過(guò)的CISA版本仍包含NSA信息共享部分,他認(rèn)為這是CISA在調(diào)解過(guò)程中“重大問(wèn)題”。
“眾議院版本很明確的是,你不能直接與NSA共享信息,而參議院版本沒(méi)有明確這一點(diǎn),還有一部分表明所有信息需要傳遞到國(guó)土安全部,并有另一部分稱,當(dāng)與任何聯(lián)邦機(jī)構(gòu)共享信息時(shí),你會(huì)有責(zé)任保護(hù)。所以,我認(rèn)為這對(duì)于眾議院是混亂而不能接受的,這是必須解決的重大問(wèn)題。”
McCaul告訴SearchSecurity,他期待與參議院共同參與調(diào)解,但沒(méi)有回答該法案中可能引起爭(zhēng)論的特定部分問(wèn)題。
“我祝賀參議院通過(guò)他們的網(wǎng)絡(luò)安全法案。在4月份,眾議院以類似的兩黨壓倒性投票通過(guò)了我們的版本,”McCaul代表眾議院國(guó)土安全委員會(huì)表示,“我們期待與參議院開會(huì)來(lái)確定我們的分歧,并制定最終的法案,以確保美國(guó)民眾的隱私性以及更好地保護(hù)我們國(guó)家的網(wǎng)絡(luò)。”
原有PCNA支持者、眾議員Devin Nunes對(duì)于調(diào)解的具體細(xì)節(jié)也拒絕發(fā)表評(píng)論,但表示“在今年年底之前,眾議院和參議院會(huì)召開會(huì)議,對(duì)這些法案之間的區(qū)別進(jìn)行談判。”
白宮發(fā)言人Eric Schultz告訴記者,美國(guó)總統(tǒng)奧巴馬也“希望參議院和眾議院可以盡可能地合作,盡快將最好的法案提交到總統(tǒng)辦公桌。”
Sweet稱,雖然CISA和PCNA在表面很類似,但主要差別在于細(xì)節(jié)。
“兩者之間的區(qū)別仍然很明顯,并且,在某些情況下,受到其他議程的驅(qū)動(dòng)。這兩者非常難以進(jìn)行協(xié)調(diào),”Sweet表示,“我的猜測(cè)是,整套立法將會(huì)廢除,或會(huì)提出新的立法。”
Kurtz更希望調(diào)解可以實(shí)現(xiàn)。
“事實(shí)上,所有各方都同意,共享網(wǎng)絡(luò)事件數(shù)據(jù)是解決網(wǎng)絡(luò)領(lǐng)域巨大挑戰(zhàn)的關(guān)鍵,我們需要法律來(lái)消除企業(yè)之間共享的障礙,”Kurtz表示,“而事情變得復(fù)雜的地方是,與政府共享網(wǎng)絡(luò)事件數(shù)據(jù)的情況。同時(shí),對(duì)于什么是網(wǎng)絡(luò)事件數(shù)據(jù)的定義以及刪除個(gè)人身份信息的規(guī)定都需要進(jìn)行審慎協(xié)調(diào)。”
Herold并沒(méi)有對(duì)調(diào)解的可能性發(fā)表評(píng)論,而是強(qiáng)調(diào)其必要性,因?yàn)镃ISA將是數(shù)據(jù)安全和隱私性的破壞者。
Herold稱:“國(guó)會(huì)成員對(duì)OPM泄露事故以及其自己數(shù)據(jù)的泄露普遍表示憤慨,如果國(guó)會(huì)繼續(xù)對(duì)專家提出的CISA安全和隱私問(wèn)題充耳不聞,沒(méi)有責(zé)任,沒(méi)有明確或有效的隱私和安全保護(hù)要求,他們可能會(huì)看到比OPM泄露事故更嚴(yán)重的數(shù)據(jù)泄露。”
“國(guó)會(huì)需要聽取安全和因素專家的意見,并試圖了解風(fēng)險(xiǎn)和顧慮,最終明白這一點(diǎn):在前期提出安全和隱私保護(hù)要求比后期的數(shù)據(jù)泄露更節(jié)約成本,并且對(duì)美國(guó)人民的傷害更小,我們不能等待不好的事情發(fā)生,然后嘗試修復(fù)它。”