“如果美國已經(jīng)有了一個網(wǎng)絡安全法案的話,周三紐交所和美聯(lián)航公司的全面技術故障就可能避免。”周三以來,這是美國國會討論最多的話題。
美國執(zhí)法和安全官員說,他們認為當日紐交所停盤和美聯(lián)航一度暫停所有航班,以及《華爾街日報》網(wǎng)站出現(xiàn)臨時故障之間沒有聯(lián)系。美國聯(lián)邦調查局(FBI)局長科米說:“我們沒有發(fā)現(xiàn)網(wǎng)絡漏洞或網(wǎng)絡攻擊的任何跡象。”科米指出,他認為《華爾街日報》網(wǎng)站的故障應該是因為紐交所交易中斷,很多人登錄該報網(wǎng)站查看相關新聞信息,導致服務器過載所致。
盡管執(zhí)法人員和國會情報委員會成員都認為,星期三所出現(xiàn)的三起事件同網(wǎng)絡攻擊無關,仍有多名美國國會議員認為,這些看起來似乎是內(nèi)部電腦故障所引發(fā)的事故具備了網(wǎng)絡攻擊的特征,而本應該早就出臺的保護美國國內(nèi)網(wǎng)絡安全的法案,也就是被稱為美國《網(wǎng)絡安全信息分享法案》(CISA)的無法通過,為美國全國范圍內(nèi)的網(wǎng)絡安全造成了隱患。
那么為什么這項得到很多議員支持的法案,卻一直無法在國會通過呢?
國會參議院情報委員會的一位立法助手表示,盡管每次國會提到CISA的時候總會有許多支持的聲音,但相關法案其實是目前最有爭議的一項立法。主要原因就是,許多同網(wǎng)絡安全有關的信息分享,大部分都已經(jīng)在其他相關法律的保護范圍內(nèi),只是沒有將這些立法條款歸納成一項特別的法案。
特別是,許多技術專家和網(wǎng)絡安全專家都認為,CISA和其他關于網(wǎng)絡攻擊以及信息分享的法案基本沒有必要。此前,因為谷歌公司的信息分享引發(fā)的侵犯公民隱私權事件,讓美國政府部門和私人公司當前在信息分享方面,都希望能夠“劃清界限”、“能不分享盡量不分享”。
還有情報安全領域的議員認為,希望能夠有一部通過增加信息分享而避免未來網(wǎng)絡攻擊的立法的觀點,本身就是不現(xiàn)實的。
“當一個系統(tǒng)被攻擊的時候,攻擊者會留下一個蹤跡,調查者會搜集這些‘面包屑’,這些數(shù)據(jù)的一部分可以讓其他的系統(tǒng)操作者查看他們是否也被攻擊,同時保護他們在將來不受類似的攻擊。”加州民主黨參議員費因斯坦(DianneFeinstein)在遞交給參議院情報委員會的一封信中指出,“所以說,保護網(wǎng)絡安全的專家們已經(jīng)能夠互相同政府部門分享這些信息。”
網(wǎng)絡安全立法方面的專家指出,有關網(wǎng)絡安全信息的分享法案,最難界定的就是如何在現(xiàn)有已經(jīng)存在爭議的相關立法上做出修改。比如,如何將信息分享只限制在那些保護未來系統(tǒng)受到攻擊的部門之間——這些部門所跨越的政府職能范圍本就非常廣泛,而如果再要涉及私有企業(yè)就更難做出準確界定。另外,在信息分享的過程中所引發(fā)的有關侵犯公民隱私權的討論,也是重要的挑戰(zhàn),特別是在信息分享之后如何處理已經(jīng)掌握的公民私人信息,以及如何準確界定只將這些信息用于安全隱患方面的調查。
此外,盡管美國政府一再聲稱將會增加專門保護美國私人公司網(wǎng)絡安全的政府部門,在過去的10年中,同大規(guī)模網(wǎng)絡故障有關的事故卻增加了10倍,從2006年的5502起增加到2013年的6.1萬起。新美國基金會的一項研究指出,用于保護網(wǎng)絡安全所設立的多余和重復的政府部門,卻在負面范圍內(nèi)影響了政府網(wǎng)絡的安全,這是由于信息的超負荷運載、不同部門之間責任的不明確,以及不同部門在對待不同安全議題時的不同政策造成的。
“就是管理最有效的政府,也不一定能夠將CISA運轉成功,因為這是一項在不斷變化的系統(tǒng)上設定一個技術性的政府系統(tǒng)去管理。”新美國基金會的研究報告稱。