2017/02/08

网络安全的未来走向——特朗普政府将会采取哪些措施?

作者:潘乐(Peter Bullock)(合伙人),Yonah Baker (summer clerk) 和 Daniella Phair (solicitor)

据美国非营利政策研究组织战略与国际研究中心(CSIS)估算,每年因数据和其他知识产权失窃造成全球损失约4500亿至6000亿美元。

为抵御这个威胁,CSIS最近向特朗普政府提出了一系列网络安全建议(CSIS建议)。事实上,网络安全是最近美国总统大选中反复讨论的一个问题,尽管CSIS不建议进行一次全面审查,但普遍认为特朗普总统上台后将签署一项行政命令,要求立即审查所有美国的网络防御措施和薄弱点。虽然该命令尚未发出,但特朗普政府会非常重视CSIS的建议,因为该建议的工作组联席主席凯伦·伊文思(Karen Evans)是特朗普总统过渡团队的一员。

总体上看,CSIS建议旨在改进美国政府的网络安全措施,调整国际战略,加强与志同道合的国家的伙伴关系,同时阻吓攻击者。 CSIS认为,需要更多国家政府的干预,以改善网络安全防御,因为私人部门至今都尚未能有效地自行消除网络安全的威胁。 CSIS建议与澳大利亚政府在2016年初发布的四年网络安全战略、香港金融管理局的网络防卫计划及新加坡的网络安全法案拥有密切关系。

CSIS建议有哪些主要内容?

主要内容包括:

1. 实行更有效的威慑措施:

CSIS建议提高美国军方(负责抵御针对美国的网络攻击)和美国情报机构信息共享流程的效率。CSIS还建议增加使用制裁和诉讼以阻止国际网络攻击。

例如,2015年,美国计划使用多项制裁,向中国施加经济压力,迫使中国政府打击中国企业的商业间谍活动。而澳大利亚采取的惩罚措施较轻,这或许反映了我们的经济影响力更小,对国际贸易的依赖程度较大。澳大利亚积极与其他亚太国家合作,包括中国和印度,目标是采取务实的合作方式降低网络安全风险。 

2. 加强公私部门在数据保护方面的协作:

CSIS 建议将个人数据保护纳入网络安全范畴,公私部门应合作制定一个有效保护个人数据的框架。

澳大利亚信息专员办公室发布了关于公司如何应对网络安全风险的指南。与CSIS建议一致,澳大利亚的网络安全战略也努力通过公私部门合作制定的全国性自愿网络安全指南,强化澳大利亚的网络防护能力。CSIS 和澳大利亚的战略均鼓励使用道德黑客计划来找出网络安全弱点。

3. 加强有关网络攻击的信息交流,增加透明度:

发生网络攻击后,出于法律和声誉影响方面的顾虑,受害者通常不愿公开相关信息。因此,CSIS 建议建立可以免责且匿名分享网络攻击信息的框架。值得注意的是,尽管美国一些州制定了强制报告数据泄露事件的法律,但还没有建立统一的全国性制度。

澳大利亚的网络安全战略还强调公私部门之间信息共享的必要性,澳大利亚正在制定强制通报数据泄露事件的规定。2016年《隐私法修正案(须报告的数据泄露)》于去年年底向众议院提出,已获两党的广泛支持,有望于今年通过。澳大利亚政府还表示,可能为电信行业专门立法,强制要求分享威胁国家安全的信息。但这些提案受到了行业代表的强烈批评,他们指出提案的范围不确定,会授予政府宽泛的强制权力。

4. 更加坚定地打击网络犯罪: 

2004年生效的《布达佩斯公约》是首个应对网络犯罪的国际公约,目的是协调各国对网络犯罪的调查和起诉。但是,俄罗斯、中国、印度等关键国家尚未通过这一公约,这些国家的公民被控参与了针对美国等国的网络犯罪。CSIS 建议惩罚非签字国,以鼓励更多国家批准或重新商谈此公约。澳大利亚的网络安全战略还主张加强国际协调,预防恶意网络活动。 

5. 保护最薄弱环节:

随着对物联网(IOT)的关注和投资增大,CSIS 建议鼓励消费者和企业共同制定物联网安全标准和原则,制定物联网防御框架。与其他网络一样,物联网的安全性取决于最薄弱的环节。令人担忧的是,2014年惠普一项研究发现,70%的普通物联网设备都存在一些严重的安全漏洞。

澳大利亚的网络安全战略也意识到物联网面临这些挑战和机遇(预计到2030年,物联网每年产生6250亿美元的经济效益)。我们的战略希望鼓励公私部门领导人合作提高相关领域的网络安全意识,这不仅是需要面对的商业风险,也是有待开发的战略机遇(例如,开发识别和消解网络安全威胁的产品和服务)。 

6. 进行结构性改革,改进网络工作重心:

CSIS建议白宫增设“网络安全协调官”职务,任命网络安全协调官为总统助理。澳大利亚也采取了类似做法,澳大利亚政府任命了一名网络事务大使负责处理国际网络事务。澳大利亚政府还单设一位网络安全内阁部长。 

为满足日益增长的网络安全方面的人员需求,CSIS 还建议总统实施多项教育计划,增加网络安全方面的人力。澳大利亚还希望将本国建设成为亚太地区的一个网络安全枢纽,政府近期投入了3000多万美元,建立一个新的行业牵头的增长中心,发展和增强澳大利亚网络安全产业。

其他国家的未来将会如何?

澳大利亚

很难预料特朗普会作出什么政策选择来应对网络安全威胁。迄今为止,CSIS和澳大利亚相关部门采取了非常相似的办法。因此,特朗普政府在网络安全方面采取的任何行动都会受到澳大利亚政府的密切关注,并可能影响澳大利亚的未来政策走向。但是,特朗普总统已显示出不可预测性,两国的战略也可能有所不同。特别值得关注的是,特朗普将如何应对来自中国(澳大利亚在亚太地区的一个主要贸易伙伴)的网络安全威胁,是否会采取同样的方式处理来自俄罗斯等其他国家的威胁。

无论政治局势将如何发展,澳大利亚企业都应该意识到,制定有效的网络安全策略在未来将会越来越重要。

香港

CSIS建议反复提醒,目前只有国家才有能力发起真正的网络攻击,并将朝鲜、俄罗斯、伊朗和中国大陆列为美国的首要“敌人”。但是,香港并不将这些政权视为(至少不公开视为)敌人。事实上,香港几十年来一直避免卷入强权角逐,埋头发展自由市场经济。因此,毫不奇怪,香港对网络安全的态度受金融服务业的主导。

2016年5月,香港金融管理局推出了一项“网络防卫计划”,以增强银行业的网络防御能力。该计划包括下列与CSIS建议产生共鸣的三大支柱:

  • 网络防御评估框架:一个基于风险的框架,供香港金融管理局的授权机构评估自身风险状况;
  • 一项专业培训计划:该计划或许反映了全球缺少网络安全专业人员的现状,同时配有一个职业培训机构,以增加合格的网络专业人员的供应量;及
  • 网络风险资讯共享平台:在金融服务业内通报警示信息。

新加坡

新加坡网络安全方面的发展或许与CSIS 的立场更为相似。新加坡历来多少依赖邻国提供各类基本必需品。CSIS指出:“最有可能受到实际攻击的目标是关键基础设施,主要是能源、电信、金融、政府服务和交通运输设施。”这体现在将于今年提交国会的新加坡《网络安全法案》中。该法案要求新加坡重要的信息基础设施运营商确保基础设施安全,报告网络破坏事件,并授权网络安全局管理网络事件和提高标准。这也是新加坡“智慧国家”愿景的一部分,即,到2018年将新加坡建成一个“值得信赖的、强大的信息通讯枢纽”。

编者按:本文同步发表于金杜中国法律博客(Chinalawinsight.com)

主要联系人

数字智能

数字创新将引领全球范围的行业变革。数字智能中心的众多资源能够助您正面拥抱和迎接数字革新。

数字智能
Share on LinkedIn Share on Facebook Share on Twitter
    您可能感兴趣

    在《网安法》生效之后,从实务的角度谈一谈个人信息安全与重要数据保护。

    2017/09/04

    Important things must know since Cybersecurity law took effect

    2017/08/15

    本文将对《预案》的内容进行简要梳理,同时总结企业在预防和应对网络安全事件方面的基本法律义务,并根据经验提示企业应对突发安全事件执行的关键步骤。

    2017/07/04

    网络安全法的出台为个人信息保护制度开创了多个“首次”,尤为引人注目。

    2016/11/15

    本网站使用Cookie来增强您的体验并帮助我们改善网站。请参阅我们的隐私政策以获取更多信息。如果您继续浏览网站而不更改设置,我们将假设您愿意收到这些Cookie。您可以随时更改Cookie设置

    有关我们使用哪些类型Cookie的更多信息,请参阅我们的Cookie使用政策