“如果美国已经有了一个网络安全法案的话,周三纽交所和美联航公司的全面技术故障就可能避免。”周三以来,这是美国国会讨论最多的话题。
美国执法和安全官员说,他们认为当日纽交所停盘和美联航一度暂停所有航班,以及《华尔街日报》网站出现临时故障之间没有联系。美国联邦调查局(FBI)局长科米说:“我们没有发现网络漏洞或网络攻击的任何迹象。”科米指出,他认为《华尔街日报》网站的故障应该是因为纽交所交易中断,很多人登录该报网站查看相关新闻信息,导致服务器过载所致。
尽管执法人员和国会情报委员会成员都认为,星期三所出现的三起事件同网络攻击无关,仍有多名美国国会议员认为,这些看起来似乎是内部电脑故障所引发的事故具备了网络攻击的特征,而本应该早就出台的保护美国国内网络安全的法案,也就是被称为美国《网络安全信息分享法案》(CISA)的无法通过,为美国全国范围内的网络安全造成了隐患。
那么为什么这项得到很多议员支持的法案,却一直无法在国会通过呢?
国会参议院情报委员会的一位立法助手告诉《第一财经日报》记者,尽管每次国会提到CISA的时候总会有许多支持的声音,但相关法案其实是目前最有争议的一项立法。主要原因就是,许多同网络安全有关的信息分享,大部分都已经在其他相关法律的保护范围内,只是没有将这些立法条款归纳成一项特别的法案。
特别是,许多技术专家和网络安全专家都认为,CISA和其他关于网络攻击以及信息分享的法案基本没有必要。此前,因为谷歌公司的信息分享引发的侵犯公民隐私权事件,让美国政府部门和私人公司当前在信息分享方面,都希望能够“划清界限”、“能不分享尽量不分享”。
还有情报安全领域的议员认为,希望能够有一部通过增加信息分享而避免未来网络攻击的立法的观点,本身就是不现实的。
“当一个系统被攻击的时候,攻击者会留下一个踪迹,调查者会搜集这些‘面包屑’,这些数据的一部分可以让其他的系统操作者查看他们是否也被攻击,同时保护他们在将来不受类似的攻击。”加州民主党参议员费因斯坦(DianneFeinstein)在递交给参议院情报委员会的一封信中指出,“所以说,保护网络安全的专家们已经能够互相同政府部门分享这些信息。”
网络安全立法方面的专家指出,有关网络安全信息的分享法案,最难界定的就是如何在现有已经存在争议的相关立法上做出修改。比如,如何将信息分享只限制在那些保护未来系统受到攻击的部门之间——这些部门所跨越的政府职能范围本就非常广泛,而如果再要涉及私有企业就更难做出准确界定。另外,在信息分享的过程中所引发的有关侵犯公民隐私权的讨论,也是重要的挑战,特别是在信息分享之后如何处理已经掌握的公民私人信息,以及如何准确界定只将这些信息用于安全隐患方面的调查。
此外,尽管美国政府一再声称将会增加专门保护美国私人公司网络安全的政府部门,在过去的10年中,同大规模网络故障有关的事故却增加了10倍,从2006年的5502起增加到2013年的6.1万起。新美国基金会的一项研究指出,用于保护网络安全所设立的多余和重复的政府部门,却在负面范围内影响了政府网络的安全,这是由于信息的超负荷运载、不同部门之间责任的不明确,以及不同部门在对待不同安全议题时的不同政策造成的。
“就是管理最有效的政府,也不一定能够将CISA运转成功,因为这是一项在不断变化的系统上设定一个技术性的政府系统去管理。”新美国基金会的研究报告称。