侯鲆
2019-05-22 11:10:05

隐私权倡导者表示,由于最近关于如何保护关键基础设施免受黑客攻击的争论的发展,有争议的网络安全法案今年可能面临很难清除国会的可能性。

广告

众议院情报委员会领导人Mike Rogers(R-Mich。)和荷兰Ruppersberger(D-Md。)本周重新推出了网络情报共享和保护法案,称为CISPA。 它旨在消除妨碍政府和行业实时共享有关网络威胁信息的法律障碍。 去年反对CISPA的隐私团体表示,自2012年以来,有关网络安全政策的讨论发生了重大变化,网络威胁信息共享法案将难以在国会通过,除非其中包含额外的隐私保护措施。

美国公民自由联盟(ACLU)的立法顾问Michelle Richardson说:“按原样继续进行CISPA,如果没有实质性的改变,就会阻止这一问题的真正发生。” “这项法案是有毒的。现在,参议院如果选择继续沿着这条路走下去,就不会碰它。如果有的话,他们会在脚下射击。”

隐私组织表示,CISPA的广泛语言将允许公司将客户的电子通信(包括个人信息)发送给情报界和秘密的国家安全局(NSA)。 该法案应包括一项措施,要求公司在将个人信息发送给政府之前将其从网络威胁数据中删除,该组织认为,并补充说,像国土安全部这样的民间机构应该监督情报共享过程。

Rogers和Ruppersberger周三推出了同样版本的CISPA去年通过了众议院,尽管白宫否决了威胁,以及隐私和公民自由团体的抗议。 然而,隐私权倡导者认为,该法案今年更加异常,因为它与白宫本周发布的网络安全行政命令以及参议院网络安全法案的信息共享部分有很大不同。

民主与技术中心主席莱斯利哈里斯说:“一年对情报委员会没有太大影响。辩论在去年发生了重大变化,CISPA没有跟上。”

哈里斯补充说:“鉴于今年的重点是隐私,我本来期望CISPA能够反映一些变化。” “然而一年之后我们就在同一个地方,所以我当然不同意CISPA是一个扣篮的信念。如果是这样的话,我认为它不会在参议院的任何地方进行。” 诸如需求进步,电子前沿基金会和未来战斗等倡导团体准备宣传活动,以鼓动公众反对该法案。

奥巴马总统本周发布的网络安全行政命令要求各机构在其网络活动中实施隐私和公民自由保护。 它还鼓励各机构与运营关键基础设施的公司和向电力公司,水厂和其他关键基础设施提供安全服务的商业服务提供商分享更多机密的网络威胁信息。

哈里斯认为,行政命令解决了改善网络威胁信息共享的部分需求,因此公司可以获得有价值的政府情报,帮助他们保护计算机网络和系统免受即将到来的网络威胁。

哈里斯说,“现在我们的问题范围比较小”,今年国会的信息共享立法需要解决这个问题。

此外,隐私组织对去年参议院网络安全法案的变更表示赞赏,其中包括一项规定,要求公司“做出合理努力”,在将敏感的个人信息与政府分享之前将其从网络威胁数据中删除。 参议院法案还将把国土安全部等民间机构置于政府与工业界之间的网络威胁信息共享交流中心,因此数据不会直接流向军方或国家安全局。

ACLU的Richardson表示,参议院法案提出了一个比CISPA更温和的替代方案,也得到了隐私组织的赞誉。

但众议院情报委员会领导人看好他们的法案的政治前景。

与隐私组织不同,罗杰斯认为,总统行政命令的发布只会帮助CISPA今年有机会清除国会,因为它解决了参议院为关键基础设施的计算机网络建立网络安全标准的目标。 这将把重点放在明确的网络威胁信息共享措施上。

罗杰斯本周在战略与国际研究中心上说:“我们认为现在我们处在与白宫合作的更好的地方,试图找到一些共同点,因为这已经离开众议院。” 我们认为,行政命令将对参议院坚持基础设施规则,法规和标准施加一点压力。

该法案还得到了一系列行业的支持,从金融机构到IBM和AT&T等主要技术和电信公司。

企业集团渴望通过今年的信息共享法案,因为如果行政命令与政府共享网络威胁数据,那么法律上的行政命令就无法给予公司免受诉讼的保护,只有法律可以。 如果他们彼此分享网络威胁数据,国会也有权保护公司免受反垄断案件的打击。

CISPA的两位合着者还认为,隐私组织误解了其法案的目的以及法律允许公司与政府分享的威胁信息类型。 他们认为,企业会向政府发送有关他们在计算机网络上发现的恶意源代码的技术信息,或者向黑客提供的IP地址,而不是人们的电子邮件或其他通信。

罗杰斯在本周的新闻发布会上说:“这不是一个监控程序。它是以光速,实时,交换零和一个恶意软件。”

但隐私组织不会购买这种说法。

“这是一门艺术,而不是一门科学,它是一种涉及非常敏感的个人信息的艺术,我们应该在这个过程中寻求更多的隐私保护,而不仅仅是将问题扫除,并声称它全是零和那些,“哈里斯说。 “零和一些实际上意味着[在互联网上]。”

例如,鱼叉式钓鱼或通过电子邮件侵入某人的计算机是黑客使用的一种流行方法。 为了破解计算机,黑客会向一个人发送一封电子邮件,其中包含链接或附件,其中包含有毒的源代码。 如果用户点击有毒链接或下载附件,黑客将获得对计算机的访问权限。

在这种情况下,Richardson说公司可能会将IP地址,邮件中包含的电子邮件地址或电子邮件本身的内容翻过来。 她认为,公司可以与政府分享的网络威胁数据类型的其他限制需要写入CISPA的文本中。

“谁知道哪些公司将决定与鱼叉式钓鱼攻击相关?也许它不包括零和零,也许它将包括电子邮件,”她说。