澳大利亞著手出臺《數(shù)據(jù)泄露通報制度》敦促安全建設(shè)

責(zé)任編輯:editor007

2017-03-10 22:51:34

摘自:E安全

澳大利亞的2017年隱私權(quán)修正(數(shù)據(jù)泄露通報)法案標(biāo)志著信息安全立法的一大里程碑。整個技術(shù)行業(yè)又一次對有無必要進(jìn)行法律干預(yù)開展?fàn)幷?RSA的彼得·特蘭立足于全球視角對澳大利亞新出臺的強(qiáng)制性數(shù)據(jù)泄露通知方案作出評論。

澳大利亞的2017年隱私權(quán)修正(數(shù)據(jù)泄露通報)法案標(biāo)志著信息安全立法的一大里程碑。整個技術(shù)行業(yè)又一次對有無必要進(jìn)行法律干預(yù)開展?fàn)幷?RSA的彼得·特蘭立足于全球視角對澳大利亞新出臺的強(qiáng)制性數(shù)據(jù)泄露通知方案作出評論。

截至目前,包括澳大利亞在內(nèi)的全球約90個國家出已臺了信息安全相關(guān)法律法規(guī),而其嚴(yán)格程度、執(zhí)行方式以及處罰力度亦各不相同。目前美國約47個州擁有自己的安全違規(guī)通報法,盡管尚未在國家層面引入統(tǒng)一的法律要求。但大多數(shù)數(shù)據(jù)泄露事件仍然未被及時發(fā)現(xiàn)與報告。

信息安全相關(guān)法律關(guān)注的重點不再應(yīng)該是其普及廣度、深度的問題,而真正應(yīng)該落實在如何保護(hù)數(shù)字隱私與落實違反安全法律的具體措施上。衡量安全違規(guī)措施及數(shù)據(jù)隱私法律有效性的惟一方法,在于相關(guān)立法舉措能否起到防止安全違規(guī)事件的發(fā)生的作用。但這種衡量方式屬于一種“模糊科學(xué)”。

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(簡稱NIST)發(fā)布的網(wǎng)絡(luò)安全框架雖然只是一份針對當(dāng)下的指導(dǎo)性最佳實踐框架,但其卻與政策、合規(guī)性與安全運營實現(xiàn)了緊密對接。英國國家網(wǎng)絡(luò)安全中心(簡稱NCSC)與其類似,NIST框架同樣由政府機(jī)構(gòu)同私營部門間協(xié)同構(gòu)建,允許各類組織機(jī)構(gòu)基于自身業(yè)務(wù)需求及具備成本效益的方式解決并管理網(wǎng)絡(luò)安全風(fēng)險,而無需進(jìn)行額外的監(jiān)管性約束。這種作法被稱為“業(yè)務(wù)驅(qū)動型安全保障”。NIST框架能夠衡量安全違規(guī)在商業(yè)環(huán)境中帶來的實際影響以評估其執(zhí)行有效性,而這也正是“紙上談兵”與以實踐為導(dǎo)向舉措間的最大區(qū)別所在。

立法是管理手段而非技術(shù)措施

業(yè)務(wù)準(zhǔn)則與法律之間存在著微妙的平衡。立法行為只是為敦促組織機(jī)構(gòu)積極提升自身的監(jiān)控與檢測能力,盡可能避免重大安全違規(guī)及數(shù)據(jù)失竊、操縱及/或銷毀事故,或者在遭遇這些事故之后能夠有能力迅速應(yīng)對。立法行為不應(yīng)該被理解成防止安全違規(guī)或者改進(jìn)早期檢測與響應(yīng)能力的有效措施。

一部分企業(yè)可能認(rèn)為報告安全事件會被政府懲罰,因此質(zhì)疑就數(shù)據(jù)泄露通報程序進(jìn)行立法的必要性。然而政府的真正意圖在于鼓勵企業(yè)更為積極地利用主動識別機(jī)制處理網(wǎng)絡(luò)攻擊風(fēng)險與安全漏洞來降低自身面臨的風(fēng)險,雖然這一動機(jī)看似不太明顯??梢钥隙ǖ氖轻槍ζ髽I(yè)數(shù)據(jù)泄露事故報告立法已經(jīng)發(fā)出了一項清晰而迅速的全球性指示信息————澳大利亞企業(yè)已經(jīng)開始落實對公共及私有關(guān)鍵性基礎(chǔ)設(shè)施進(jìn)行保護(hù)的具體措施。

就安全違規(guī)事件報告程序的立法要求能夠帶來一項核心收益,即推動企業(yè)以更為緊迫的態(tài)度在違規(guī)事故發(fā)生期間及之后報告關(guān)鍵性數(shù)據(jù)。這些數(shù)據(jù)將可用于實施主動網(wǎng)絡(luò)防御技術(shù)、戰(zhàn)術(shù)。

在這方面,美國國防部對國內(nèi)諸如銀行及醫(yī)療衛(wèi)生等部門實施的舉措就非常值得借鑒。其對私營行業(yè)及其承包與采購商發(fā)布了一系列與安全違規(guī)通報相關(guān)的規(guī)則與條例,同時建立起合作與志愿項目,包括:國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全計劃(簡稱DIB-CS);銀行FS-ISAC以及醫(yī)療衛(wèi)生NH-ISAC等————旨在實現(xiàn)公共與私營部門各參與者間的合作伙伴關(guān)系。

這些網(wǎng)絡(luò)安全合作伙伴將為保密及非保密網(wǎng)絡(luò)威脅信息的共享提供一個協(xié)作環(huán)境,同時允許分析師與分析人員間針對緩解及補(bǔ)救策略進(jìn)行無障礙交流。這不僅能夠為企業(yè)帶來分析支持與取證分析協(xié)助,同時亦極大促進(jìn)政府與行業(yè)對網(wǎng)絡(luò)威脅事務(wù)的了解和掌握。憑借著緊密的聯(lián)系、立法與協(xié)作,該志愿項目帶來了顯著成效。這亦證明如果缺少這種對接能力,網(wǎng)絡(luò)安全體系將很可能全面破裂。

在已頒布或者計劃發(fā)布類似立法條款的90個國家當(dāng)中,大部分尚未意識到網(wǎng)絡(luò)安全與違規(guī)事故響應(yīng)并不遵循與法律規(guī)定內(nèi)相同的法律假設(shè)。事實上,遭受損失的機(jī)構(gòu)往往需要很長一段時間才會察覺到這些互聯(lián)網(wǎng)安全問題。也就是說哪怕是私營及公共部門已具備成熟能力尚不能夠有效監(jiān)控并檢測攻擊活動。

在具體落實數(shù)據(jù)泄露報告制度前的12個月過渡期內(nèi),CISO們必須充分掌握自身網(wǎng)絡(luò)安全狀態(tài)、及判斷現(xiàn)有監(jiān)控與檢測能力差距,確定機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)分類與業(yè)務(wù)風(fēng)險注冊信息已更新。如果尚未建立這一業(yè)務(wù)風(fēng)險注冊表,則其應(yīng)在接下來的12個月內(nèi)將此作為優(yōu)先事務(wù)處理。這樣,CISO便能夠立足合規(guī)性角度確定企業(yè)自身的短期、中期與長期準(zhǔn)備情況,評估其安全規(guī)劃的可恢復(fù)性,最終擬定能夠在遭遇重大安全違規(guī)事故時遵循法律要求中指定的必要與禁止性行為。

企業(yè)著手投資前瞻性信息安全實踐

應(yīng)提倡自主保護(hù)體系建設(shè),對于那些始終不愿投資建立信息安全方案建設(shè)的企業(yè)來說,或許正在坐等立法通過,對組織機(jī)構(gòu)及利益相關(guān)者進(jìn)行保護(hù)工作僅僅是被立法推著走,而沒有著手投資前瞻性信息安全實踐,這無論對于哪種機(jī)構(gòu)其風(fēng)險性都無異于玩火自焚。

隨著這一輪即將實施的立法性要求,澳大利亞將在法律、運營最佳實踐與指導(dǎo)性思想之間建立新的協(xié)作橋梁,并著力讓數(shù)字化安全成為企業(yè)DNA中的固有組成部分。企業(yè)應(yīng)該趁此機(jī)會積極準(zhǔn)備,為網(wǎng)絡(luò)破壞事件、應(yīng)急響應(yīng)建立彈性設(shè)計方案。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號