2016年2月16日,国土安全局局长Jeh Johnson公布了2015年网络安 全信息共享法案(Cybersecurity Information Sharing Act,简称 CISA)项下共享网络威胁指示的暂行指南和程序。由于该指南是自愿 适用的,所以问题是:您的公司是否应该与政府共享信息?

通过该指南和程序,政府寻求限制共享“网络威胁指示”信息对公司 和个人的影响。请注意“网络威胁指示”包括:“描述或识别”网络 威胁的“必要信息”,以及欺骗合法用户不自觉提供授权的方法,“ 恶意侦察”和“击败安全控制或利用安全漏洞的方法”(或者说恶意 软件,后门和内部威胁)。

作为保护隐私的一部分,DHS的计算机紧急事务响应小组(“USCert”)发布了自动指示共享(“AIS”)机制以自动进行私营企业 和联邦机构之间的网络威胁以及网络威胁指示实时信息的共享程序, 同时保护任何可能受损的受保护信息。该指南也(i)为AIS提供“共享网 络威胁指示的目标责任保护”,以及(ii)寻求“鼓励公司与DHS合作建 立实时共享和接收网络威胁指示需要的基本技术设施”。

AIS被用于在共享任何信息之前移除所有与网络威胁不直接相关的个人 可识别信息。此外,AIS程序允许在信息共享之前隐匿信息的来源(除 非同意披露来源)。AIS过滤掉指示中受到隐私法规保护的信息,仅共享“识别或描述网络威胁直接相关的和必要的信息 ”。

Johnson局长强调:“法律重点提供两层隐私保 护。公司应在共享网络威胁指示之前移除个人信 息,而DHS应该且已经执行自己的程序以对接收的 信息进行隐私审查”。

哪些种类的信息将被共享?以下特别列举一些范 例,包括:

  • 显示同一特定IP地址多次访问努力或测试的网络 服务器记录文件;
  • 发现允许未授权访问的后门;
  • 表明感染恶意软件的域名搜索的模式;
  • 公司可能泄露文件的警告;以及
  • 减轻危险的行动。

所以,您的公司是否应该参与这个自愿的信息共享 项目?

当然,这要视情况而定。决定是否与政府共享信息 时,考虑您的公司持有的所有私人信息:公司的IP 以及商业秘密;职员、董事以及雇员的信息;以及 您的客户的私人信息和账单信息。跨州、跨联邦 和跨国共享任何上述信息都需要分析大量的法律法 规,甚至可能涉及新近公布的美国和欧盟的“隐私 保护”法案(“Privacy Shield”)。

此外,虽然这些新的规章要求所有共享的数据匿 名,无意识的泄露仍会发生。除了其他方面,此等 泄露就可能招致许多防止受保护信息泄露的州、联 邦或国际隐私法律的处罚。而且,与政府共享的信 息也不必然安全——去年政府的2000万联邦雇员 记录被盗用正说明了这一点。

但是最麻烦的是选择不参与该项目的公司无权访问 项目信息。这将产生一类“已分享”以及“未分 享”的信息,而这种分类仅仅基于公司是否决定参 与该项目。虽然访问网络威胁的实时信息将提供明 显的好处,私营公司仍需要决定访问是否值得冒 险,包括无意识泄露的风险。任何决定不值得冒险 的公司将被拒绝访问网络威胁信息。应该了解到公 司决定不参与项目的决定可能在诉讼、媒体或其他 情况中使用以对抗该公司。

虽然隐私和安全之间的矛盾是根本性的,网络安全 的战役才刚刚开始。对于现在面临决定是否参与 DHS刚刚公布的暂行指南的公司来说,这种矛盾状 态也才刚刚开始。◆