澳大利亚的2017年隐私权修正(数据泄露通报)法案标志着信息安全立法的一大里程碑。整个技术行业又一次对有无必要进行法律干预开展争论!RSA的彼得·特兰立足于全球视角对澳大利亚新出台的强制性数据泄露通知方案作出评论。
截至目前,包括澳大利亚在内的全球约90个国家出已台了信息安全相关法律法规,而其严格程度、执行方式以及处罚力度亦各不相同。目前美国约47个州拥有自己的安全违规通报法,尽管尚未在国家层面引入统一的法律要求。但大多数数据泄露事件仍然未被及时发现与报告。
信息安全相关法律关注的重点不再应该是其普及广度、深度的问题,而真正应该落实在如何保护数字隐私与落实违反安全法律的具体措施上。衡量安全违规措施及数据隐私法律有效性的惟一方法,在于相关立法举措能否起到防止安全违规事件的发生的作用。但这种衡量方式属于一种“模糊科学”。
美国国家标准与技术研究所(简称NIST)发布的网络安全框架虽然只是一份针对当下的指导性最佳实践框架,但其却与政策、合规性与安全运营实现了紧密对接。英国国家网络安全中心(简称NCSC)与其类似,NIST框架同样由政府机构同私营部门间协同构建,允许各类组织机构基于自身业务需求及具备成本效益的方式解决并管理网络安全风险,而无需进行额外的监管性约束。这种作法被称为“业务驱动型安全保障”。NIST框架能够衡量安全违规在商业环境中带来的实际影响以评估其执行有效性,而这也正是“纸上谈兵”与以实践为导向举措间的最大区别所在。
立法是管理手段而非技术措施
业务准则与法律之间存在着微妙的平衡。立法行为只是为敦促组织机构积极提升自身的监控与检测能力,尽可能避免重大安全违规及数据失窃、操纵及/或销毁事故,或者在遭遇这些事故之后能够有能力迅速应对。立法行为不应该被理解成防止安全违规或者改进早期检测与响应能力的有效措施。
一部分企业可能认为报告安全事件会被政府惩罚,因此质疑就数据泄露通报程序进行立法的必要性。然而政府的真正意图在于鼓励企业更为积极地利用主动识别机制处理网络攻击风险与安全漏洞来降低自身面临的风险,虽然这一动机看似不太明显。可以肯定的是针对企业数据泄露事故报告立法已经发出了一项清晰而迅速的全球性指示信息————澳大利亚企业已经开始落实对公共及私有关键性基础设施进行保护的具体措施。
就安全违规事件报告程序的立法要求能够带来一项核心收益,即推动企业以更为紧迫的态度在违规事故发生期间及之后报告关键性数据。这些数据将可用于实施主动网络防御技术、战术。
在这方面,美国国防部对国内诸如银行及医疗卫生等部门实施的举措就非常值得借鉴。其对私营行业及其承包与采购商发布了一系列与安全违规通报相关的规则与条例,同时建立起合作与志愿项目,包括:国防工业基础网络安全计划(简称DIB-CS);银行FS-ISAC以及医疗卫生NH-ISAC等————旨在实现公共与私营部门各参与者间的合作伙伴关系。
这些网络安全合作伙伴将为保密及非保密网络威胁信息的共享提供一个协作环境,同时允许分析师与分析人员间针对缓解及补救策略进行无障碍交流。这不仅能够为企业带来分析支持与取证分析协助,同时亦极大促进政府与行业对网络威胁事务的了解和掌握。凭借着紧密的联系、立法与协作,该志愿项目带来了显著成效。这亦证明如果缺少这种对接能力,网络安全体系将很可能全面破裂。
在已颁布或者计划发布类似立法条款的90个国家当中,大部分尚未意识到网络安全与违规事故响应并不遵循与法律规定内相同的法律假设。事实上,遭受损失的机构往往需要很长一段时间才会察觉到这些互联网安全问题。也就是说哪怕是私营及公共部门已具备成熟能力尚不能够有效监控并检测攻击活动。
在具体落实数据泄露报告制度前的12个月过渡期内,CISO们必须充分掌握自身网络安全状态、及判断现有监控与检测能力差距,确定机构的数据资产分类与业务风险注册信息已更新。如果尚未建立这一业务风险注册表,则其应在接下来的12个月内将此作为优先事务处理。这样,CISO便能够立足合规性角度确定企业自身的短期、中期与长期准备情况,评估其安全规划的可恢复性,最终拟定能够在遭遇重大安全违规事故时遵循法律要求中指定的必要与禁止性行为。
企业着手投资前瞻性信息安全实践
应提倡自主保护体系建设,对于那些始终不愿投资建立信息安全方案建设的企业来说,或许正在坐等立法通过,对组织机构及利益相关者进行保护工作仅仅是被立法推着走,而没有着手投资前瞻性信息安全实践,这无论对于哪种机构其风险性都无异于玩火自焚。
随着这一轮即将实施的立法性要求,澳大利亚将在法律、运营最佳实践与指导性思想之间建立新的协作桥梁,并着力让数字化安全成为企业DNA中的固有组成部分。企业应该趁此机会积极准备,为网络破坏事件、应急响应建立弹性设计方案。
本文转自d1net(转载)