据近日专家小组在2021 RSA大会上的讨论,目前美国还没有颁布任何关于发现安全漏洞时进行违规事件通报的权威性或国家级法律。但法条的缺失已经引起重视,并有望在不久的未来得到解决。

知名律师事务所Debevoise & Plimpton LLP的合伙人Luke Dembosky称,美国目前的网络违规事件通报工作主要遵循法律及政策中的某些碎片化方针,而且具体要求也随司法管辖区的不同而存在巨大差异。他指出,目前全美各州在发生数据泄露事件时是否需要向州当局及受影响个人发布通报方面,都有着自己的一套管理规则。

Dembosky表示,“这样的现状给跨州开展业务的公司造成了巨大困扰,迫使他们需要逐一弄清各个州到底该遵循哪些违规事件通报义务。”

SolarWind事件或将催生首部国家数据泄露通报法

美国司法部国家安全局副检察长Adam Hickey指出,近年来发生了一系列引人注目的安全违规事件,并给多个行业的关键基础设施造成严重冲击。如果没有一套统一的通报框架,联邦政府就无法随时获取所有必要数据与分析结论

Hickey表示,“目前,我们还很难准确掌握安全事件中的详尽细节。”

专家小组还就近期备受瞩目的SolarWinds安全违规事件进行了探讨。联邦调查局副局长Tonya Ugoretz评论称,像国家数据泄露通报法这样的法令之所以迟迟不能出台,往往就是因为缺少有份量、影响广泛的“大事件”。而SolarWinds显然打破了一片寂静,为这方面立法敲响了必要性的警钟。

Ugoretz表示,SolarWinds事件是由安全厂商FireEye率先发现并上报的,而后者自己也成为此次违规的受害者。

“FireEye公司做出了正确的反应。他们几乎立刻就注意到了攻击者高超的入侵能力,并马上与政府方面取得了联系。”

与执法部门合作解决问题,正是彰显大家严肃态度并直面挑战的最好方式。

Adam Hickey

她还补充道,虽然快速上报有助于及时发现问题并缓解事件后果,但大部分安全违规案例并没能被立即曝光。Hickey认为这正是问题的核心所在:正是FireEye迅速行动并坦率承认问题的存在,联邦政府才得以介入调查并做出响应,最终限制了风险的进一步蔓延。

为什么需要国家数据泄露通报法

Hickey强调,必须制定国家数据泄露通报法以帮助执法机构快速了解案情,并发布指导信息以保护潜在受害者

Hickey还指出,出于种种现实原因,企业如今要比以往任何时候都更愿意联系政府并配合执法部门的工作。

Hickey解释称,“过去,很多企业把数据泄露看成是家丑,总是不愿对外宣扬。但现在,人们开始意识到自己的遭遇已经成为整个计算机网络的一部分,如果不积极应对很可能引发毁灭性的后果。”

Hickey认为,在意识到数据泄露事件之后,组织关注的不仅是立即防御、同时也会考虑如何建立安全弹性和维护自身声誉。

“在这种情况下,与执法部门合作解决问题,正是彰显大家严肃态度并直面挑战的最好方式。”

国家网络违规通报法的基本方针

目前,各专家小组成员已经就国家网络违规通报法的一项核心目标达到共识,即必须降低违规通报行为的执行难度,至少要低于目前拼凑法律与政策碎片的方式

Ugoretz强调称,就违规事件发布明确的国家标准将帮助企业清晰理解自己需要披露哪些信息,在猛烈的网络攻势之下减少通报带来的额外负担。她希望这部法律能够帮助受害者及执法人员迅速了解当前事态,并据此防止问题的进一步扩散。

Ugoretz最后总结道,“网络攻击活动就像是连环杀手犯下的谋杀案,一次攻击之后必须跟着下一次攻击。好在对方总会在犯罪现场留下线索,而新的通报法将帮助我们解析这些线索,抢在凶手再次犯案之前提醒潜在的受害者们保护好自己。”

参考来源:infosecurity-magazine.com

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。