Notes

Hus Cyber Informasjonsdeling Bills: Right Approach men Krev Løser


The Corliss Group Latest Tech Review – I mars Representantenes hus gitt ut flere deler av lovgivningen om deling av cyber informasjon. To av de mer bemerkelsesverdige av disse regningene er: HR 1560, Beskytte Cyber Networks Act (PCNA), introdusert av Representanter Devin Nunes (R-CA) og Adam Schiff (D-CA) i House Intelligence Committee, og National Cybersecurity Protection Advancement Act (NCPAA) av 2015, introdusert av representant Mike McCaul (R-TX) i huset Homeland Security Committee. Ifølge presseoppslag, disse regningene ikke er konkurrenter, men heller komplementære innsats.

Informasjonsdeling er en grunnleggende måte å forbedre Cybersecurity ved at selskaper og regjeringen til å dele informasjon om aktuelle cyber trusler og sårbarheter. Med mer informasjonsdeling, kan både regjeringen og privat sektor være bedre forberedt på å stoppe eller redusere cyber risiko. Selv om disse regningene er på rett spor, håndterer verken riktig de tre mest fremtredende detaljer: sterk forpliktelse beskyttelse, bred evne til å bruke delt informasjon, og robuste men ikke overflødige eller tyngende tiltak personvern. Det er også viktig å merke seg at informasjonsdeling vil ikke stoppe alle trusler; slike regninger er bare første skritt mot å forbedre amerikanske Cybersecurity.

Ansvar Protection

Begge cyber regninger har felles språk ikke autoriserer ekstra overvåkingstiltak, ikke endre siste delingsavtaler, forby bruk av føderale byråer for regulatoriske formål eller binde av stipend midler til deling av informasjon, som forbyr konkurransebegrensende adferd, og beskytter fra Freedom of Information Act (FOIA ) forespørsler. De spriker imidlertid på ansvar beskyttelse for delere. For ikke-føderale enheter som deler informasjon, er det nødvendig med en sterk forpliktelse beskyttelse.

På dette punktet, er det NCPAA regningen sin ordgyteri sterkere enn PCNA regningen. Den NCPAA sier at en "non-Federal enhet ... skal ikke være ansvarlig på noen sivile eller straffesøksmål etter dette ledd med mindre slike ikke-Federal enhet som driver forsett eller grov uaktsomhet med hensyn til en slik deling eller oppførsel og slik grov uaktsomhet eller forsett direkte forårsaket skade. "

Denne standarden av forsett eller grov uaktsomhet er sterkt språk som vil beskytte selskaper som deler informasjon og bedre insentiver til rask deling av cyber informasjon.

Den PCNA sier at "ingen årsak til handling skal ligge eller opprettholdes i en domstol mot enhver ikke-Federal enhet, og en slik handling skal umiddelbart avskjediget, for deling eller mottak av en cyber trussel indikator eller defensive tiltak dersom en slik deling eller kvittering er utført i god tro. "[4] Mens" god tro "er et forsøk på å beskytte lyd deling av informasjon, er det et lavere beviskrav som er lettere utfordret av tort advokater, åpne selskaper opp til større risiko for søksmål. Mens PCNA nevner forsett, god tro standard hevdet bare et ledd tidligere ville være sannsynlig å trumfe det.

Personvern Tiltak

Når det kommer til cyber deling av informasjon, hva slags informasjon som blir delt inkluderer kodingen av et virus, ruten en angriper som brukes, eller et hull i sikkerheten. Imidlertid kan det være noen personopplysninger knyttet som ikke er relevant for å håndtere digitale trusler, indikatorer, defensive tiltak, eller risikoer. Mens sikkerhetsfolk har ingen interesse i denne informasjonen, er det en avveining mellom å fjerne all unødvendig informasjon og dele informasjon på en riktig måte. – Fortsett å lese