奥巴马总统前日在对联邦贸易委员会的讲话中提出一项新法案,希望设立数据泄露30天通报制度。
他说,今年数起数据泄露事件,包括最近的索尼黑客事件,使我们的经济更加脆弱,更易受侵害。
“今天,我的重点在于,怎样更好地保护美国消费者不受身份盗用的侵害,怎样更好地保护我们的隐私,包括在校学生们的隐私。”
讲话伊始,奥巴马便指出,几乎每个州都有各自的法律条文规定了若遇数据泄露事件,应在何时以怎样的方式通报公众。
例如,关注数据隐私的美国著名律所贝克豪斯律师事务所的司法经验显示,从康涅狄格州的5天到俄亥俄州、佛蒙特州、威斯康星州的45天,通报时限差异很大。
“不止是消费者感到困扰,公司企业也很无措,而且,为遵守这堆杂乱的法规耗费巨大。”奥巴马说。“有时候,公众甚至直到收到账单才知道自己的信用卡信息被盗了,而此时为时已晚。”
云安全联盟首席执行官Jim Reavis表示,一套通行的法律,即使有些苛刻的条文,也会受到业界很多人的欢迎。
“我们一直在寻求一致性,如果可以在国家范围内形成更高的一致性,将会给业界带来好处。”
此项提案提出了一个统一的30天通报时限,从数据泄露被发现那一刻起计时,30天内必须将泄露情况通报给公众。
奥巴马称:“我们还将补完法律上的漏洞,让盗窃倒卖美国公民身份的罪犯无处可逃,即使逃掉海外也能将其追捕归案。”
他还提出了《消费者隐私权利法案》以保障消费者有权决定自己的个人数据如何被公司企业所用,以及限制学生信息使用的《学生数字隐私法案》。
总统号召商业巨鳄和消费者权益拥护者共同努力推进这些法案的通过。“在这信息时代,保护我们的信息和隐私,不应该只是某个党派的事,而是我们美国人共同的事业。”
然而,之前类似法令屡遭腰斩,即使现在参众两院多数席位掌握在反对党手中,留给此次法案的通过机会也不大。美国网络安全协会SANS Institute新兴趋势理事John Pescatore如是说。就算两院都赞成此项法案,他们也会将其效力削减到让总统无法接受的程度。而且,那些重要的条款,比如数据泄露的具体定义之类 的,都还没公布呢。
Pescatore问道:“数据泄露仅指简单的数据遗失?某人丢了一卷磁带找不回来了也要进行通报?还是说有必要证明遗失的信息已被别人看过才能算?数据泄露的定义可是各州不同的。”
刚被网络安全公司金雅拓收购的SafeNet首席战略官Tsion Gonen说:“泄露事件各不相同。比如说,发生了数据载体遗失,却仍然有加密等技术手段在保护数据不被攻破的可能性也是有的。”
账户管理软件开发公司Thycotic Software的高级安全架构师Kevin Jones称:“30天是个咄咄逼人的窗口期。企业在公开泄露事件之前,得先全面调查泄露的程度,修复现行的安全漏洞。30天这么短的时限可能导致企业在 事件尚未调查清楚之前就承受不住压力而公布,进而引来更多的攻击。”
安全公司Prelert的市场和产品战略副总裁Kevin Conklin表示:“现在似乎没什么东西可以刺激企业尽早发现数据泄露。一般而言,企业在200天后才会发现泄露。此时,对用户的侵害已经形成。强制企业尽早通报泄露事件很重要,但这些企业得主动采取措施尽早发现泄露。”
应用软件安全咨询公司Cigital的总经理Drew Kilbourne补充道:“急于披露泄露事件可能妨碍到司法部门和其他组织的调查。我们通常不立即披露泄露事件,以防警醒攻击者,同时也为研究攻击行 为,获取新型窃取技术、攻击手段、攻击源争取时间。此项法案防止不了数据泄露,也带不来安全。数据泄露通报更多的是留住客户和赢取公众理解。更快的通报可能不过是粉饰太平而非有效举措。”