昨天,经过一年多的争吵、拖延和修改,参议院通过了迄今为止最重要的网络安全法案 74–21。《网络安全信息共享法案》( CISA) 是一项有争议的措施,旨在鼓励企业和政府机构共享与恶意黑客及其方法相关的信息。
政府和行业就此类信息共享进行了十多年的讨论。众议院在 2013 年通过了 CISA 的前身——《网络情报共享和保护法案》( CISPA)——但由于缺乏隐私保护,当贝拉克·奥巴马总统威胁要否决时,该法案的进展停止了。参议员黛安·范斯坦(加利福尼亚州民主党)于 2014 年 7 月首次提出 CISA,但该法案直到她和参议员理查德·伯尔(北卡罗来纳州共和党)在今年三月重新提出该立法后才获得关注。在过去一年中,索尼影业、家得宝、人事管理局以及其他数十个组织发生的高调网络安全漏洞事件帮助 CISA 顺利进入参议院议程。
CISA 的问题一直是公司在开始向政府移交数据(尤其是客户记录)时所面临的责任和隐私问题。该法案限制了公司在诉讼中的责任,但参议院否决了一些措施,这些措施本可以要求企业和政府机构至少尝试清理记录中可能用于识别个人的数据。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保有关发现和塑造我们当今世界的想法的具有影响力的故事的未来。
批评人士指出,信息共享对于预防成功的网络攻击作用不大。事实上,联邦政府已经有一个组织用于共享网络安全威胁信息。国土安全部于 2003 年成立了美国计算机应急准备小组 ( US-CERT),负责收集、分析、传播和响应政府机构、私营部门和研究人员之间共享的网络安全信息。目前,CISA 将有助于网络威胁数据收集,但尚不清楚这些信息将如何使用。此外,该法案的大部分内容都致力于概述联邦政府如何在各个机构之间共享信息,而很少提及私营部门如何访问这些数据。
一些隐私倡导者和反对 CISA 的企业指出,共享有关新型恶意软件、可疑网络活动和其他网络威胁指标的信息对于打击网络犯罪作用不大。这种信息共享必须与实施加密、修补过时软件和加强网络防御相结合。电子前沿基金会在其最新的对 CISA 的批评中总结了这一论点。
大众科学编制了一份速查表,以帮助您了解该法案、其争议之处以及对您的意义。
CISA 的目的是什么?
该法案呼吁政府机构、企业和其他组织相互共享有关网络安全威胁的信息。其想法是,这种共享信息将帮助这些不同的团体更好地做好准备,以识别和防御试图从其计算机窃取信息的黑客。然而,目前形式的 CISA 并未明确定义将如何共享此信息、谁将管理此类信息或将如何传播信息。
谁支持 CISA?
共同发起人包括参议员黛安·范斯坦(加利福尼亚州民主党)、理查德·伯尔(北卡罗来纳州共和党)、比尔·纳尔逊(佛罗里达州民主党)和安格斯·金(缅因州独立人士)。美国商会和美国金融服务业的倡导团体金融服务圆桌会议也支持该法案。
谁反对它?
诸如电子前沿基金会、民主与技术中心和为未来而战等组织的隐私倡导者;科技行业团体,包括计算机与通信行业协会 (CCIA),其成员包括 Facebook、Google 和 Yahoo;以及十几位网络安全专家,包括麻省理工学院教授罗纳德·李维斯特(RSA 密码协议中的“R”)和哈佛法学院伯克曼互联网与社会中心的研究员布鲁斯·施奈尔。在国会中,参议员罗恩·怀登(俄勒冈州民主党)、阿尔·弗兰肯(明尼苏达州民主党)、帕特里克·莱希(佛蒙特州民主党)和迪恩·海勒(内华达州共和党)以及总统候选人参议员兰德·保罗(肯塔基州共和党)和伯尼·桑德斯(佛蒙特州独立人士)都反对该法案。
反对 CISA 的论点是什么?
参议员怀登和其他人称 CISA 为“监视法案”,认为国家安全局和其他政府实体可以利用公司共享的信息来监视其客户。批评人士说,将客户信息传递给政府机构或其他第三方的过程会为数据被盗创造新的机会。他们还认为,该法案未能解决黑客能够窃取数据的真正原因——包括过时的软件、恶意软件和未加密的文件——并且由于信息共享是自愿的,参与者的缺乏可能会破坏该计划。
对该法案的最新修正案是否解决了这些担忧中的任何一项?
参议院否决了三项独立的修正案,这些修正案至少试图在共享客户信息之前删除可能识别个人的数据,如果这些数据对于描述或识别网络威胁不是必需的。* 然而,另一项修正案赋予参与公司法律保护,使其免受反垄断和消费者隐私诉讼。政府声称,其收到的信息不会用于起诉与网络无关的犯罪。
下一步是什么?
CISA 很可能很快将与众议院在 4 月份通过的两项信息共享法案进行协调。合并后的法案将提交白宫,奥巴马总统可能会将其签署成为法律。一旦发生这种情况,美国司法部长有 180 天的时间来最终确定收集和传播网络威胁数据的计划。
*编者注(10/28/15):此句子在发布后经过编辑,以澄清 10 月 27 日通过的 CISA 版本不要求参与者删除个人身份信息。