2020年1月30日,美智库新美国安全中心发布研究报告《重启国会网络安全监督》,报告认为美国网络安全“拼凑式”的法律框架难以有效解决复杂综合的网络安全问题,立法实施不够、部门协调不足、专门机构缺失导致美国会在网络安全领域的监督一直未发挥有效的作用。报告对于当前网络安全监督难点的剖析反映出当前各国网络安全治理的共性问题,对我国网络安全治理也具有重要借鉴意义。
一、网络安全是一项高度复杂的巨大挑战
网络安全涉及国际关系、国家安全和国防、刑法、民事责任、数据保护,隐私和个人责任等等;囊括从政府到公司,从组织再到个人的众多不同行为体;包括当今使用的几乎所有类型的计算和信息技术,代表了更加多样化的技术。综合来看,网络安全是一个高度复杂的问题,与政府,私营部门和社会的方方面面相互关联,这正是建立一个全面的网络安全治理框架所面临的最大挑战。
二、美国面临着“拼凑式”网络安全监管现状
美国政府在过去几十年里出台了一系列网络安全治理的法律。虽然这些五花八门的法律涉及州、国外以及国际法,但国会一直以来都未出台全面解决网络安全的法律。法律政策之间缺乏相互协调,不但产出了更多的“拼凑式”的政策制定,同时也使得联邦法律间的互动进一步复杂化,结果就形成一个复杂的、杂乱无章的系统,在一定程度上为对手国家提供了梦寐以求的“漏洞”。
报告将网络安全法分为两大类:分别是针对政府实体和针对非政府实体或活动。
在针对政府实体方面,往往存在着法律授权不足,相互协调不够,如国防部的网络行动能力受法律限制较大,而国土安全部、商务部、司法部等负责网络犯罪执法的部门在信息共享等方面缺乏法定的协调和国会监督。
在针对非政府实体的网络安全法方面,联邦层面的一般监督多是通过联邦贸易委员会(FTC)认定为“不公平和欺骗性行为”来实施的,但是委员会目前的法定专业知识主要在于消费者保护和反垄断,是否应该特别扩展到网络安全存在争议;且委员会在网络安全和数据保护方面通常缺乏实际的规则制定权力,它几乎完全通过裁决性执法行动来执行,这样也造成针对非政府实体的立法也存在拼凑式法律法规的局面。
三、“拼凑”式立法与网络安全“综合”性特点不匹配
目前,现有的法律、行政结构和国会监督机制与一个复杂的、技术集成的社会所带来的网络安全挑战的特点不符。国会现有的网络安全监督机制是脱节和不协调的,缺乏一个明确的委员会或一组明确的委员会专门负责网络安全问题,现有的涉及网络安全的委员会仅在自己的管辖范围内推进立法,缺乏相互协调。对此,国会必须全面了解网络安全问题本身。
四、亟需建立网络安全衡量标准
报告认为,鉴于网络安全的复杂性,判断网络安全措施是否取得成功面临很大的挑战,亟需开发评价网络安全措施有效性的指标,其中数据是关键。因此,量化网络安全有效性的努力应考虑鼓励非政府实体向政府提供信息,以便收集有关网络安全事件和泄露程度的可靠数据。但是由于各个部门缺乏协调,信息共享法案并未发挥应有的作用,这也体现了国会全面监督和改革的必要性。
五、当务之急是关注2020年大选和建立临时特别委员会
一是在网络安全监督和立法方面,国会应该特别注意关注最紧迫的优先事项,即2020年大选的网络安全,以及是否有紧急的立法授权可以帮助行政部门应对国家行为体针对美国的选举基础设施和民主制度进行的网络攻击,如2019年《国防授权法案》明确授权国防部对中国、俄罗斯、朝鲜的选举干预采取行动;国会还应立即立法保障选举廉洁,明确透明度要求,要求联邦政府更有效地向国会、公民社会和公众分享网络安全威胁和风险。
二是针对国会在网络安全方面缺乏协调,建议在第117届国会工作中成立一个临时联合特别委员会。特别委员会不仅负责发起直接调查,还负责协调网络安全问题相关的其他委员会的活动。该委员会除了协调两院的工作外,还负责在规定的期限内提交具体报告或提出立法建议。但是确保这个特别委员会任期有限,不应像情报委员会那样成为永久委员会。同时这个委员会需采纳网络空间日光委员会提出的建议。
报告翻译全文
重启国会网络安全监督
引言
网络安全监督是时候重启了。该报告探索重启国会网络安全监督的必要性。在阐明网络安全监督存在的特殊挑战后,该报告认为网络安全政策制定、法律框架与网络安全问题的自身性质存在差异,造成网络空间立法的困难。报告提出两大建议以引导网络安全监督重启。
网络安全是一项跨越多学科和多领域的广泛挑战。该报告认为当前“拼凑式”的法律框架无论是在立法监管还是有效政策制定上都难以有效解决网络安全问题。本报告阐述了网络安全问题的性质和范围,同时聚焦该问题的复杂性及其如何影响到国会的监督行动。近年来,国会在网络安全领域实施了大量的监督,但是并没有有效落实到真正能够有效提升国家安全的立法行动。本报告试图帮助建立法律权威来应对日益复杂的网络威胁,并为重启国会的网络安全监督提供了一种路径。
应对网络安全挑战
网络安全是一项复杂、综合的挑战,涉及国际关系、国家安全和国防、刑法、民事责任、数据保护,隐私和个人责任等等。网络安全还囊括众多不同的参与者,从政府到公司,从组织再到个人。它还涉及当今使用的几乎所有类型的计算和信息技术,与过去的个人电脑和服务器相比,它代表了更加多样化的技术。网络安全是一个高度复杂的问题,与政府,私营部门和社会的方方面面相互关联,这正是建立一个全面的网络安全治理框架所面临的最大挑战。
从联邦政府的视角来看,网络安全提出了一系列相互关联的挑战,如对敌对国家的恶意网络行动不能以传统动能防御威胁的方式解决,因此网络安全的责任也不能仅仅委任给国防部或者国土安全部单独解决,这主要是由于法律授权及其作用和职能受限,它们并不能单独处理好网络安全这个问题。
当前“拼凑式”法律框架无论是在立法监督上还是有效的政策制定上都难以有效解决网络安全问题。网络安全术语经常被定义为防御性技术安全问题,其含义在不同的行业部门、不同的行为体、不同的学科背景下具有不同的解释和规范。然而在现实中,网络安全问题通常只是一个复杂难题的一部分,缺乏明确定义这些问题的框架也削弱了政策制定者制定出能够充分解决网络安全频谱上所有问题的政策能力,这个频谱范围非常广,并不局限于传统的防御边界,而是包括战略规划和对抗性行动,涵盖私营部门、执法部门、军事行动等各个方面。在一个互联互通的世界里,全面思考网络安全问题非常有必要。更全面地看待影响“网络安全”的各因素,从系统安全的技术层面到武装冲突背景下的国际法原则,这样的视角与改善美国信息和计算基础设施是一致的。
网络安全的技术性在两个方面使得这个问题变得更为复杂。一方面,它给非技术人员在理解网络安全问题的关键因素上面创造了一定程度的不透明;另一方面,网络安全的高度技术本质导致人们错误地相信技术措施能够提供完全的解决方案。事实并非如此。仅仅专注于技术“银弹”的解决方案往往对对手有利,因为它提供了错误的安全感。许多最有效的“黑客入侵”方法通常依赖于人类载体。在一个相互联系的世界里,正如技术边界是不可行的系统一样,由军队保卫网络边界也是不切实际的。
当前网络安全法律框架
美国政府在过去几十年里出台了一系列网络安全治理的法律。虽然这些五花八门的法律涉及州、国外以及国际法,但国会一直以来都未出台全面解决网络安全的法律。法律政策之间缺乏相互协调,不但产出了更多的“拼凑式”的政策制定,同时也使得联邦法律间的互动进一步复杂化,结果就形成一个复杂的、杂乱无章的系统,在一定程度上为对手国家提供了梦寐以求的“漏洞”。此外,为了更好地理解国会的监督作用,非常有必要将网络安全法纳入各项政策框架适用领域。网络安全法大致可分为两大类:一类是针对政府实体;另一类是针对非政府实体或活动。
(一) 针对政府实体的网络安全法
针对政府实体的网络安全法指的是规范联邦政府行为的法律,包括建立和指导网络安全国防行动,创立联邦网络机构,向联邦政府提供信息安全实践,为执法机构应对网络犯罪提供框架,以及相应的国际法领域。
持防御性网络安全的观点人常常指望国防部来保护美国的国家安全。这种观点高估了国防部的法律授权,同时低估了防御网络安全的技术因素。一个多世纪的先例表明,“治安官动员法”(Posse Comitatus Act,简称PCA)在很大程度上限制了国防部在和平时期采取行动的能力。虽然国防部已经从政策角度采取措施解决这一差距,如2018年网络战略授予国防部应对某类恶意网络行为的权力(这是基于国防部在国内采取行动防止重大网络攻击的作用非常有限),即使这样的限制相继被修改或移除,在美国边境建设虚拟防火墙的效果也是非常有限的(如果有的话)。全球商业现状和公共互联网的结构逐渐模糊了政治边界,使得公共互联网的边界安全变得不切实际。那些认为网络安全问题可以在国防部内部解决的观点在法律上和技术上都是不够的。
防御性网络安全的另一个常见讨论领域是刑事执法。民事网络犯罪法的执行主要由司法部负责,国土安全部和商务部协助。司法部负责调查和起诉工作,国土安全部负责协调工作并向其他非军事政府实体和民间组织提供技术和政策专业知识,而商务部的国家标准与技术研究所(NIST)是世界上最大的计算机科学和计算机安全专业知识宝库之一,各部门及其组成机构相互协调。这些活动的法律授权范围从机构自身的授权法规到通用的联邦计算机犯罪法再到行政指令,从传统的刑事调查和执法到支持遭受或面临网络攻击风险的组织。日益成为2010年代初立法活动主题的信息共享,也属于此类。这项法定活动既没有法定要求的协调,也没有相应的国会监督。
(二) 针对非政府实体的网络安全法
针对非政府实体的网络安全法律和政策制度已经存在了几十年,主要是借鉴了信息安全和隐私法律的框架和法规。这类法律主要关注的是对私营行为体之间相互作用的监管,以及这些相互作用可能在多大程度上影响整个网络安全生态系统。这种制度通常包括两类:特定部门的规章和普遍适用的规章。除了这一区别之外,非政府网络安全机制有时还会区分消费者保护法(主要目的是保护用户及其数据)和基础设施保护法(主要目的是保护系统和基础设施)。当然,这两种方法并不相互排斥。联邦层面最为显著的行业领域监管主要是医疗和金融行业。这两个行业的监管体制相似,都采用了基于过程的标准监管的灵活风格。根据这类法规,组织被要求进行网络安全风险评估,制定合理计划响应这些评估,并遵循和维护这些计划。虽然各个行业的监管不尽相同,但总体而言,这些制度的重点是保护基础设施和用户及数据。
联邦层面的一般监督基本上是拼凑而成的,而且绝大多数是通过联邦贸易委员会(FTC)认定为“不公平和欺骗性行为”来实施的。关于FTC的角色存在争议,包括委员会目前的法定专业知识(消费者保护和反垄断)是否应该特别扩展到网络安全。联邦贸易委员会在网络安全和数据保护方面通常缺乏实际的规则制定权力,它几乎完全通过裁决性执法行动来执行。在过去的20年里,联邦贸易委员会通过裁决程序在这一领域的活动大幅增加。国会先前在面对FTC活动扩大的情况下进行过监督和改革活动,但并没有通过立法解决FTC将其不公平和欺诈行为执法实践扩展到网络安全领域的问题。十多年来,美国联邦贸易委员会(FTC)和美国卫生与公众服务部等监管机构已经对未能遵守足够网络安全规范的公司处以监管罚款和其他处罚。国会应研究这些罚款或其他监管执法行动是否确实为改变企业行为发挥了作用。最近,美国证券交易委员会也探讨了它是否能够或应该在监管其管辖范围内的私营部门实体方面发挥更实质性的作用。
州一级的法规包括联邦制度的各种延伸,以及州数据泄露通知法规。州一级的数据泄露通知法律通常都是类似的, 当泄露数据涉及消费者的识别性信息(通常是消费者的名字)以及相关的敏感信息(通常是社会安全号码,其它政府识别号码,或金融账户号码)时,必须通知消费者。虽然联邦层面不存在一般性泄漏通知法,但国会已在开始注意该问题。
近年来,信息共享已成为许多政策和立法关注的话题。2015年,美国国会通过了《网络安全信息共享法案》(2015 CISA),为那些参加了由国土安全部和司法部新修订的信息共享计划的企业提供了责任豁免。信息共享被私营企业视为改善网络安全实践和防御措施的重要一步。2015年的信息共享法案获得了私营企业的大力支持,隐私和数据保护的提倡者对该立法表示了极大的关注。
近年来,与信息共享相关的立法举措已成为网络安全立法活动中最引人注目和最活跃的领域。然而现在来看,信息共享的承诺并没有证明会给私营组织的网络安全防御和威慑格局带来实质性的变化。系统仍然持续被破坏,对手继续利用漏洞。在这方面,过去十年对信息共享的重视可能与此类立法和活动为切实改善美国网络安全基础而做出的承诺不成比例。
很难证明网络安全措施在宏观层面是否取得成功。网络安全有效性的衡量标准可能与恶意网络活动的减少相称,但是似乎没有一个可靠的数据评估来证明网络攻击是在上升还是在下降。鉴于网络安全在规模上的整体复杂性,确定用以衡量网络安全事件的因变量,以及区分任何一个或几个变化的影响,都面临着巨大的挑战。这些困难也说明努力开发或改进评价网络安全措施有效性的指标的重要性。正如《华尔街日报》的保罗·罗森茨威格(Paul Rosenzweig)所指出的那样,“衡量和描述网络安全的改善缺乏获得普遍认可和普遍接受的标准……因此,决策者(无论是公司董事会、政府官员还是个人用户)只能根据定性而非定量的标准来选择网络安全实施方案。在这个问题上,探索衡量网络安全活动有效性的机制是一个值得努力的方向。
然而,如果没有数据支持,衡量网络安全将是一项不完整的工作。到目前为止,尚无完整的数据集,因为非政府实体无需向联邦政府提供有关重大数据泄露的信息,这是证明网络安全工作成败的一个衡量标准。因此,量化网络安全有效性的努力应考虑鼓励非政府实体向政府或独立实体提供信息,以便收集有关网络安全事件和泄露程度的可靠数据。
由于上述原因——最明显的是公众和市场对网络安全状况的持续不满——过去十年的信息共享工作并没有像为获得立法时所预期的那样重要。当然,这并不是说信息共享没有帮助,也不是说它在整体战略中没有用。相反,它应该被视为整体战略的一部分,其中也包括评估指标和框架。与上面讨论的网络安全监管的其他领域一样,缺乏协调的战略也凸显了单个解决方案的局限性以及国会全面监督和改革的必要性。
当前“拼凑”式立法与网络安全“综合”性特点不匹配
目前,现有的法律、行政结构和国会监督机制与一个复杂的、技术集成的社会所带来的网络安全挑战的特点不符。国会现有的网络安全监督机制同样是脱节和不协调的。与许多其他政策领域不同,没有一个明确的委员会或一组明确的委员会负责网络安全问题。既有的委员会由参众两院的许多委员会组成,通常是按照可能不符合当前专长的历史路线划分的。如司法委员会经常在监视、网络犯罪执法和隐私问题方面遇到网络安全问题,武装部队委员会被要求在评估有关进攻性和防御性网络能力的立法时考虑网络安全问题,情报委员会最近从事网络安全活动的角度是保护选举系统基础设施不受外国影响和与外国干涉民主进程有关的恶意网络活动。由于国土安全部在保障联邦政府民用网络安全和协调政府实体与私营部门之间的信息共享方面具有重要的网络安全职能,国土安全委员会在网络安全监管方面也发挥了重要作用。但这些委员会之间缺乏协调,限制了国会全面了解网络安全问题的能力,尤其是当这些委员会仅在自己的管辖范围内推进立法时。
为了制定一个成功的网络安全方案,国会必须首先能够对其有一个全面的了解。这是一个巨大的挑战,不仅仅是因为缺乏可协调的委员会,问题本身的复杂性还要求收集大量行为体、经济部门和政府部门之间相互作用的信息。有组织犯罪调查活动的增加将如何影响潜在的民族国家行动者的动机?这些外国行动者的反应将如何改变针对私人组织和个人的第三方的恶意工具和代码的可用性?将“黑客反击”合法化的提议会如何影响对手参与假旗行动(指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动)的动机?这些是跨越许多不同领域的复杂问题,但试图解决任何一个领域对几乎所有其他领域都具有影响。这对国会来说并不是一项容易的挑战,更糟糕的是,它是实时发生的,监督对象行政机构也面临着越来越大的行动压力。
自2019年1月第116届国会以来,至少有13场听证会涉及网络安全议题。这13场听证会由7个不同的国会委员会主持,其中包括3个众议院委员会和4个参议院委员会。从2017年1月到2018年12月,在第115届国会中,至少有56场听证会涉及网络安全议题。这56场听证会由17个不同的国会委员会主持,其中包括众议院的8个委员会和参议院的7个委员会。与此同时,国会的特定成员已经启动了网络空间日光浴室委员会,该委员会由2019年《国防授权法案》授权,由国会两院的成员以及外部专家组成。该委员会的职责是“评估在网络空间保卫美国的不同方法,并推动达成全面战略共识”。委员会关于制定这一战略的建议将在一份2020年报告中提出。
缺乏可协调的委员会只是问题的一个方面。但是网络安全问题有许多不同的方面,其中大多数是相互关联的,容易成为那些试图破坏美国系统的对手可利用的漏洞。换句话说,攻击者并不关心他们是如何进入的——他们只关心他们所做的。他们的机制并不完全服从委员会的管辖。尽管这个支离破碎的委员会可以被解释为是对国会委员会结构进行情报监督式改革的理由,但这个答案与信息共享神话或通过刑事处罚有效加强威慑的神话一样,都是不完整的。因为这个问题涉及国防、执法、农业、能源、交通、金融、医疗、制造业、消费者保护以及其他许多领域,它的拼凑性使得不协调的监管和立法成为最大的挑战。在最坏的情况下,当一个领域的问题得到解决,而代价是忽视另一个领域时,它可能会助长一种错误的安全感,从而使对手受益。
临时措施
本报告提出今明两年可能实施的两个临时步骤。
第一,在网络安全监督和立法方面,国会应该特别注意关注最紧迫的优先事项,即2020年大选的网络安全,以及是否有紧急的立法空白或授权可以帮助行政部门在打击国家行为体针对美国的选举基础设施和民主制度进行的网络攻击,如2019年《国防授权法案》明确授权国防部对中国、俄罗斯、朝鲜的选举干预采取行动;国会还应立即立法保障选举廉洁,明确透明度要求,要求联邦政府更有效地向国会、公民社会和公众分享网络安全威胁和风险。2016年10月,联邦政府事后很久才告知公众俄罗斯试图干预2016年大选,这种错误不应再犯,而且需要立法来确保不会再犯。
其次,针对国会在网络安全方面缺乏协调,建议在第117届国会工作中成立一个临时联合特别委员会。特别委员会不仅负责发起直接调查,还负责协调网络安全问题相关的其他委员会的活动。该委员会除了协调两院的工作外,还负责在规定的期限内提交具体报告或提出立法建议。我们建议这个委员会应该是一个真正的“特选”委员会——任期较短,处理特定问题,而不是一个事实上成为永久性委员会的“特选”委员会(如情报委员会)。此外,特别委员会可以采纳网络空间日光委员会即将提出的建议,以确保他们的工作结束后不会丢掉接力棒。最后,这样一个特别委员会任期有限,可能会在第118届国会选举时产生一些政治责任。由于网络安全问题备受关注,选民愿意让议员对未能采取行动的行为负责,因此,对这样一个委员会来说,在有限的时间内提出建议似乎是一个合理的动机。
结论
网络安全自身特点对制定有效的立法以显著改善国家的网络安全状况提出了诸多挑战,当前的环境要求在这一立法领域开展更多的工作。将网络安全法律框架大致划分为两类,在针对政府实体的各类法律中尚不完善,缺乏协调;针对分散的非政府实体的法律,则建议国会重新关注网络安全领域的辩论和立法。在短期内,这些努力应包括立即关注2020年选举的完整性和安全性,以及在明年设立一个短期的特别委员会,全面解决网络安全立法提案。
参考文献:
Rebooting Congressional Cybersecurity Oversight,https://www.cnas.org/publications/reports/rebooting-congressional-cybersecurity-oversight
声明:本文来自网安布谷鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。