澳大利亞著手出臺《資料洩露通報制度》敦促安全建設

澳大利亞的2017年隱私權修正(資料洩露通報)法案標誌著資訊保安立法的一大里程碑。整個技術行業又一次對有無必要進行法律干預開展爭論!RSA的彼得·特蘭立足於全球視角對澳大利亞新出臺的強制性資料洩露通知方案作出評論。

截至目前，包括澳大利亞在內的全球約90個國家出已臺了資訊保安相關法律法規，而其嚴格程度、執行方式以及處罰力度亦各不相同。目前美國約47個州擁有自己的安全違規通報法，儘管尚未在國家層面引入統一的法律要求。但大多數資料洩露事件仍然未被及時發現與報告。

資訊保安相關法律關注的重點不再應該是其普及廣度、深度的問題，而真正應該落實在如何保護數字隱私與落實違反安全法律的具體措施上。衡量安全違規措施及資料隱私法律有效性的惟一方法，在於相關立法舉措能否起到防止安全違規事件的發生的作用。但這種衡量方式屬於一種“模糊科學”。

美國國家標準與技術研究所(簡稱NIST)釋出的網路安全框架雖然只是一份針對當下的指導性最佳實踐框架，但其卻與政策、合規性與安全運營實現了緊密對接。英國國家網路安全中心(簡稱NCSC)與其類似，NIST框架同樣由政府機構同私營部門間協同構建，允許各類組織機構基於自身業務需求及具備成本效益的方式解決並管理網路安全風險，而無需進行額外的監管性約束。這種作法被稱為“業務驅動型安全保障”。NIST框架能夠衡量安全違規在商業環境中帶來的實際影響以評估其執行有效性，而這也正是“紙上談兵”與以實踐為導向舉措間的最大區別所在。

立法是管理手段而非技術措施

業務準則與法律之間存在著微妙的平衡。立法行為只是為敦促組織機構積極提升自身的監控與檢測能力，儘可能避免重大安全違規及資料失竊、操縱及/或銷燬事故，或者在遭遇這些事故之後能夠有能力迅速應對。立法行為不應該被理解成防止安全違規或者改進早期檢測與響應能力的有效措施。

一部分企業可能認為報告安全事件會被政府懲罰，因此質疑就資料洩露通報程式進行立法的必要性。然而政府的真正意圖在於鼓勵企業更為積極地利用主動識別機制處理網路攻擊風險與安全漏洞來降低自身面臨的風險，雖然這一動機看似不太明顯。可以肯定的是針對企業資料洩露事故報告立法已經發出了一項清晰而迅速的全球性指示資訊————澳大利亞企業已經開始落實對公共及私有關鍵性基礎設施進行保護的具體措施。

就安全違規事件報告程式的立法要求能夠帶來一項核心收益，即推動企業以更為緊迫的態度在違規事故發生期間及之後報告關鍵性資料。這些資料將可用於實施主動網路防禦技術、戰術。

在這方面，美國國防部對國內諸如銀行及醫療衛生等部門實施的舉措就非常值得借鑑。其對私營行業及其承包與採購商釋出了一系列與安全違規通報相關的規則與條例，同時建立起合作與志願專案，包括：國防工業基礎網路安全計劃(簡稱DIB-CS);銀行FS-ISAC以及醫療衛生NH-ISAC等————旨在實現公共與私營部門各參與者間的合作伙伴關係。

這些網路安全合作伙伴將為保密及非保密網路威脅資訊的共享提供一個協作環境，同時允許分析師與分析人員間針對緩解及補救策略進行無障礙交流。這不僅能夠為企業帶來分析支援與取證分析協助，同時亦極大促進政府與行業對網路威脅事務的瞭解和掌握。憑藉著緊密的聯絡、立法與協作，該志願專案帶來了顯著成效。這亦證明如果缺少這種對接能力，網路安全體系將很可能全面破裂。

在已頒佈或者計劃釋出類似立法條款的90個國家當中，大部分尚未意識到網路安全與違規事故響應並不遵循與法律規定內相同的法律假設。事實上，遭受損失的機構往往需要很長一段時間才會察覺到這些網際網路安全問題。也就是說哪怕是私營及公共部門已具備成熟能力尚不能夠有效監控並檢測攻擊活動。

在具體落實資料洩露報告制度前的12個月過渡期內，CISO們必須充分掌握自身網路安全狀態、及判斷現有監控與檢測能力差距，確定機構的資料資產分類與業務風險註冊資訊已更新。如果尚未建立這一業務風險登錄檔，則其應在接下來的12個月內將此作為優先事務處理。這樣，CISO便能夠立足合規性角度確定企業自身的短期、中期與長期準備情況，評估其安全規劃的可恢復性，最終擬定能夠在遭遇重大安全違規事故時遵循法律要求中指定的必要與禁止性行為。

企業著手投資前瞻性資訊保安實踐

應提倡自主保護體系建設，對於那些始終不願投資建立資訊保安方案建設的企業來說，或許正在坐等立法通過，對組織機構及利益相關者進行保護工作僅僅是被立法推著走，而沒有著手投資前瞻性資訊保安實踐，這無論對於哪種機構其風險性都無異於玩火自焚。

隨著這一輪即將實施的立法性要求，澳大利亞將在法律、運營最佳實踐與指導性思想之間建立新的協作橋樑，並著力讓數字化安全成為企業DNA中的固有組成部分。企業應該趁此機會積極準備，為網路破壞事件、應急響應建立彈性設計方案。

本文轉自d1net（轉載）