【鉅亨網編譯蔡騰輝 綜合外電】
過去幾年來,美國企業不斷要求國會立法,防範科技犯罪。
《CNNMoney》報導,美國聯邦政府似乎看到企業長久以來的訴求,將投票表決,通過網路安全資訊共享法案 (Cybersecurity Information Sharing Act, CISA) ,讓美國企業能夠與政府機關更加密切地合作,防範科技犯罪、保障企業資訊安全。
如果某間企業遭受網路駭客攻擊,政府機關會立即收到訊息,並且通知其它機關協同調查,並且提醒其它公司要小心。
每一起網路駭客攻擊,都是傳染力極強的病毒造成,如果沒有連結的警示系統,科技公司的資訊則暴露於危險之中。
雖然電腦工程師與軍事專家都同意,要建立國內自動且共享的網路防衛機制。然而,並不是全部的科技公司都喜歡這樣的法案。
包括亞馬遜 (Amazon) (AMZN-US)、戴爾電腦 (Dell)、eBay (EBAY-US)、臉書 (Facebook) (FB-US)、谷歌 (Google) (GOOGL-US)、微軟 (Microsoft) (MSFT-US)、雅虎 (Yahoo) (YHOO-US) 等公司都認為這樣的機制會侵害到他們的機密資料。此外,蘋果 (Apple) (AAPL-US)、網路公司 Salesforce (CRM-US)、推特 (Twitter) (TWTR-US) 也都認為這樣的法案不太恰當。
就連資訊安全巨擘賽門鐵克 (Symantec) (SYMC-US) 也反對這樣的法案。
企業反對的原因,就是因為 CISA 法案,不僅幫助企業阻擋駭客,也會讓美國聯邦調查局 (FBI) 有滲入各大科技公司的管道。
此外,輿論也擔心如果法案通過,那麼美國國家安全局 (NSA) 在沒有法院的搜索票或是同意之下,就能夠自由存取各大企業的資料。
美國參議員 Ron Wyden 就曾表示,這樣的法案其實有隱藏的危險。
然而,美國其它產業,包括銀行業、能源業、醫院、保險業、電信業,甚至是 IBM (IBM-US) 都大聲疾呼,希望法案趕快通過。因為他們目前都遭受嚴重的網路攻擊,急需要幫助。
網路駭客與企業現況
許多企業在駭客攻擊的當下,毫無招架之力。
首先、美國聯邦調查局專門調查網路駭客的探員表示,美國聯邦調查局目前深知駭客的技巧,也擁有許多駭客的資訊。但是制度規定,使得他們無法將這些訊息、技巧與一般企業分享。
第二、美國國土安全部 (Department of Homeland Security) 、美國聯邦調查局 (FBI) 、美國國家安全局 (NSA) 與其它機關之間,尚無建立資訊互惠平台,因此資訊統合速度依舊趕不上駭客的攻擊速度。
第三、一般企業都不傾向與政府機關共享資訊,除非企業被逼急了。
而 CISA 法案就是要統整上述情況的法案。
CISA 法案可能的運作模式如下
以銀行遭受電腦病毒攻擊為例。根據 CISA 法案,如果此銀行願意共享資訊:
1. 銀行首先必須完全清除客戶資料。
2. 將網路威脅資訊,傳給美國國土安全部
3. 美國國土安全部就會將這些資訊傳給美國聯邦調查局、美國國家安全局與其它政府部門,進而展開緝捕駭客的後續行動。
如果美國國土安全部要把資訊與其它公司共享,美國國土安全部也要先將企業相關的個人資料都先清除,才將訊息傳出。這一切都會由電腦系統自動操作。
聯邦政府每年會有 2 次檢查整體系統的機制,檢查是否有公民的資訊遭到侵害。
市場仍有隱私疑慮
1. 法案著重於「即時」傳輸,也就是說,當駭客入侵事件發生時,企業可能沒有時間把機密檔案移轉或是刪除,就必須把相關內容與駭客入侵的資訊,一併傳輸給政府機關。
2. 縱使是傳輸網路威脅資訊,仍然有洩漏隱私的疑慮。
3. 如果其它機關不同意,那麼美國國土安全部就無法刪除私人資料檔案。
即使法律允許機關蒐集網路威脅資訊,讓公家機關可以調查立即的危害、經濟的危害、恐怖攻擊活動。但賽門鐵克首席政策律師 Jeff Greene 表示,這樣其實與法案的中心思想有些出入。
為了網路安全,企業可能會無意中洩漏更多客戶的資料。 CISA 法案中很重要的一條,就是規定要完全刪除企業所分享的資訊。上週,美國參議員 Rand Paul 表示,話是這樣說沒錯,但是誰知道,最後資訊有沒有被刪除。
極富國家安全經驗,並且同時身為電腦工程師與律師的 Jonathan Mayer 表示,他很擔心在整體調查過程之後,美國國土安全部卻沒有將檔案刪除。
不過也有前參議員表示,美國國土安全部曾經成功阻擋駭客的入侵,並且將個人隱私的傷害降到最低。不過,在此同時,聯邦政府將會擁有更大的權力與權限,能夠清楚看到企業內部的資料與運作模式。
如果週二 (27日) 參議院通過 CISA 法案,那麼將會把此法案與其它小型法案,一起再次投票,然後一併交由歐巴馬總統簽署。
過去也曾有 CISA 法案的討論議題,然而在小布希總統任內,一直無法通過表決。
今日點閱排行:
