昨天,經過一年多的爭吵、拖延和修改,參議院通過了迄今為止最重要的網路安全法案 74–21。《網路安全資訊共享法案》( CISA) 是一項有爭議的措施,旨在鼓勵企業和政府機構共享與惡意駭客及其方法相關的資訊。
政府和行業就此類資訊共享進行了十多年的討論。眾議院在 2013 年通過了 CISA 的前身——《網路情報共享和保護法案》( CISPA)——但由於缺乏隱私保護,當貝拉克·奧巴馬總統威脅要否決時,該法案的進展停止了。參議員黛安·范斯坦(加利福尼亞州民主黨)於 2014 年 7 月首次提出 CISA,但該法案直到她和參議員理查德·伯爾(北卡羅來納州共和黨)在今年三月重新提出該立法後才獲得關注。在過去一年中,索尼影業、家得寶、人事管理局以及其他數十個組織發生的高調網路安全漏洞事件幫助 CISA 順利進入參議院議程。
CISA 的問題一直是公司在開始向政府移交資料(尤其是客戶記錄)時所面臨的責任和隱私問題。該法案限制了公司在訴訟中的責任,但參議院否決了一些措施,這些措施本可以要求企業和政府機構至少嘗試清理記錄中可能用於識別個人的資料。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保有關發現和塑造我們當今世界的想法的具有影響力的故事的未來。
批評人士指出,資訊共享對於預防成功的網路攻擊作用不大。事實上,聯邦政府已經有一個組織用於共享網路安全威脅資訊。國土安全部於 2003 年成立了美國計算機應急準備小組 ( US-CERT),負責收集、分析、傳播和響應政府機構、私營部門和研究人員之間共享的網路安全資訊。目前,CISA 將有助於網路威脅資料收集,但尚不清楚這些資訊將如何使用。此外,該法案的大部分內容都致力於概述聯邦政府如何在各個機構之間共享資訊,而很少提及私營部門如何訪問這些資料。
一些隱私倡導者和反對 CISA 的企業指出,共享有關新型惡意軟體、可疑網路活動和其他網路威脅指標的資訊對於打擊網路犯罪作用不大。這種資訊共享必須與實施加密、修補過時軟體和加強網路防禦相結合。電子前沿基金會在其最新的對 CISA 的批評中總結了這一論點。
大眾科學編制了一份速查表,以幫助您瞭解該法案、其爭議之處以及對您的意義。
CISA 的目的是什麼?
該法案呼籲政府機構、企業和其他組織相互共享有關網路安全威脅的資訊。其想法是,這種共享資訊將幫助這些不同的團體更好地做好準備,以識別和防禦試圖從其計算機竊取資訊的駭客。然而,目前形式的 CISA 並未明確定義將如何共享此資訊、誰將管理此類資訊或將如何傳播資訊。
誰支援 CISA?
共同發起人包括參議員黛安·范斯坦(加利福尼亞州民主黨)、理查德·伯爾(北卡羅來納州共和黨)、比爾·納爾遜(佛羅里達州民主黨)和安格斯·金(緬因州獨立人士)。美國商會和美國金融服務業的倡導團體金融服務圓桌會議也支援該法案。
誰反對它?
諸如電子前沿基金會、民主與技術中心和為未來而戰等組織的隱私倡導者;科技行業團體,包括計算機與通訊行業協會 (CCIA),其成員包括 Facebook、Google 和 Yahoo;以及十幾位網路安全專家,包括麻省理工學院教授羅納德·李維斯特(RSA 密碼協議中的“R”)和哈佛法學院伯克曼網際網路與社會中心的研究員布魯斯·施奈爾。在國會中,參議員羅恩·懷登(俄勒岡州民主黨)、阿爾·弗蘭肯(明尼蘇達州民主黨)、帕特里克·萊希(佛蒙特州民主黨)和迪恩·海勒(內華達州共和黨)以及總統候選人參議員蘭德·保羅(肯塔基州共和黨)和伯尼·桑德斯(佛蒙特州獨立人士)都反對該法案。
反對 CISA 的論點是什麼?
參議員懷登和其他人稱 CISA 為“監視法案”,認為國家安全域性和其他政府實體可以利用公司共享的資訊來監視其客戶。批評人士說,將客戶資訊傳遞給政府機構或其他第三方的過程會為資料被盜創造新的機會。他們還認為,該法案未能解決駭客能夠竊取資料的真正原因——包括過時的軟體、惡意軟體和未加密的檔案——並且由於資訊共享是自願的,參與者的缺乏可能會破壞該計劃。
對該法案的最新修正案是否解決了這些擔憂中的任何一項?
參議院否決了三項獨立的修正案,這些修正案至少試圖在共享客戶資訊之前刪除可能識別個人的資料,如果這些資料對於描述或識別網路威脅不是必需的。* 然而,另一項修正案賦予參與公司法律保護,使其免受反壟斷和消費者隱私訴訟。政府聲稱,其收到的資訊不會用於起訴與網路無關的犯罪。
下一步是什麼?
CISA 很可能很快將與眾議院在 4 月份透過的兩項資訊共享法案進行協調。合併後的法案將提交白宮,奧巴馬總統可能會將其簽署成為法律。一旦發生這種情況,美國司法部長有 180 天的時間來最終確定收集和傳播網路威脅資料的計劃。
*編者注(10/28/15):此句子在釋出後經過編輯,以澄清 10 月 27 日透過的 CISA 版本不要求參與者刪除個人身份資訊。