“如果美國已經(jīng)有了一個(gè)網(wǎng)絡(luò )安全法案的話(huà),周三紐交所和美聯(lián)航公司的全面技術(shù)故障就可能避免。”周三以來(lái),這是美國國會(huì )討論最多的話(huà)題。
美國執法和安全官員說(shuō),他們認為當日紐交所停盤(pán)和美聯(lián)航一度暫停所有航班,以及《華爾街日報》網(wǎng)站出現臨時(shí)故障之間沒(méi)有聯(lián)系。美國聯(lián)邦調查局(FBI)局長(cháng)科米說(shuō):“我們沒(méi)有發(fā)現網(wǎng)絡(luò )漏洞或網(wǎng)絡(luò )攻擊的任何跡象。”科米指出,他認為《華爾街日報》網(wǎng)站的故障應該是因為紐交所交易中斷,很多人登錄該報網(wǎng)站查看相關(guān)新聞信息,導致服務(wù)器過(guò)載所致。
盡管執法人員和國會(huì )情報委員會(huì )成員都認為,星期三所出現的三起事件同網(wǎng)絡(luò )攻擊無(wú)關(guān),仍有多名美國國會(huì )議員認為,這些看起來(lái)似乎是內部電腦故障所引發(fā)的事故具備了網(wǎng)絡(luò )攻擊的特征,而本應該早就出臺的保護美國國內網(wǎng)絡(luò )安全的法案,也就是被稱(chēng)為美國《網(wǎng)絡(luò )安全信息分享法案》(CISA)的無(wú)法通過(guò),為美國全國范圍內的網(wǎng)絡(luò )安全造成了隱患。
那么為什么這項得到很多議員支持的法案,卻一直無(wú)法在國會(huì )通過(guò)呢?
國會(huì )參議院情報委員會(huì )的一位立法助手表示,盡管每次國會(huì )提到CISA的時(shí)候總會(huì )有許多支持的聲音,但相關(guān)法案其實(shí)是目前最有爭議的一項立法。主要原因就是,許多同網(wǎng)絡(luò )安全有關(guān)的信息分享,大部分都已經(jīng)在其他相關(guān)法律的保護范圍內,只是沒(méi)有將這些立法條款歸納成一項特別的法案。
特別是,許多技術(shù)專(zhuān)家和網(wǎng)絡(luò )安全專(zhuān)家都認為,CISA和其他關(guān)于網(wǎng)絡(luò )攻擊以及信息分享的法案基本沒(méi)有必要。此前,因為谷歌公司的信息分享引發(fā)的侵犯公民隱私權事件,讓美國政府部門(mén)和私人公司當前在信息分享方面,都希望能夠“劃清界限”、“能不分享盡量不分享”。
還有情報安全領(lǐng)域的議員認為,希望能夠有一部通過(guò)增加信息分享而避免未來(lái)網(wǎng)絡(luò )攻擊的立法的觀(guān)點(diǎn),本身就是不現實(shí)的。
“當一個(gè)系統被攻擊的時(shí)候,攻擊者會(huì )留下一個(gè)蹤跡,調查者會(huì )搜集這些‘面包屑’,這些數據的一部分可以讓其他的系統操作者查看他們是否也被攻擊,同時(shí)保護他們在將來(lái)不受類(lèi)似的攻擊。”加州民主黨參議員費因斯坦(DianneFeinstein)在遞交給參議院情報委員會(huì )的一封信中指出,“所以說(shuō),保護網(wǎng)絡(luò )安全的專(zhuān)家們已經(jīng)能夠互相同政府部門(mén)分享這些信息。”
網(wǎng)絡(luò )安全立法方面的專(zhuān)家指出,有關(guān)網(wǎng)絡(luò )安全信息的分享法案,最難界定的就是如何在現有已經(jīng)存在爭議的相關(guān)立法上做出修改。比如,如何將信息分享只限制在那些保護未來(lái)系統受到攻擊的部門(mén)之間——這些部門(mén)所跨越的政府職能范圍本就非常廣泛,而如果再要涉及私有企業(yè)就更難做出準確界定。另外,在信息分享的過(guò)程中所引發(fā)的有關(guān)侵犯公民隱私權的討論,也是重要的挑戰,特別是在信息分享之后如何處理已經(jīng)掌握的公民私人信息,以及如何準確界定只將這些信息用于安全隱患方面的調查。
此外,盡管美國政府一再聲稱(chēng)將會(huì )增加專(zhuān)門(mén)保護美國私人公司網(wǎng)絡(luò )安全的政府部門(mén),在過(guò)去的10年中,同大規模網(wǎng)絡(luò )故障有關(guān)的事故卻增加了10倍,從2006年的5502起增加到2013年的6.1萬(wàn)起。新美國基金會(huì )的一項研究指出,用于保護網(wǎng)絡(luò )安全所設立的多余和重復的政府部門(mén),卻在負面范圍內影響了政府網(wǎng)絡(luò )的安全,這是由于信息的超負荷運載、不同部門(mén)之間責任的不明確,以及不同部門(mén)在對待不同安全議題時(shí)的不同政策造成的。
“就是管理最有效的政府,也不一定能夠將CISA運轉成功,因為這是一項在不斷變化的系統上設定一個(gè)技術(shù)性的政府系統去管理。”新美國基金會(huì )的研究報告稱(chēng)。
