奧巴馬總統(tǒng)前日在對聯(lián)邦貿(mào)易委員會的講話中提出一項新法案，希望設(shè)立數(shù)據(jù)泄露30天通報制度。

[[126450]]

他說，今年數(shù)起數(shù)據(jù)泄露事件，包括最近的索尼黑客事件，使我們的經(jīng)濟(jì)更加脆弱，更易受侵害。

“今天，我的重點(diǎn)在于，怎樣更好地保護(hù)美國消費(fèi)者不受身份盜用的侵害，怎樣更好地保護(hù)我們的隱私，包括在校學(xué)生們的隱私。”

講話伊始，奧巴馬便指出，幾乎每個州都有各自的法律條文規(guī)定了若遇數(shù)據(jù)泄露事件，應(yīng)在何時以怎樣的方式通報公眾。

例如，關(guān)注數(shù)據(jù)隱私的美國著名律所貝克豪斯律師事務(wù)所的司法經(jīng)驗(yàn)顯示，從康涅狄格州的5天到俄亥俄州、佛蒙特州、威斯康星州的45天，通報時限差異很大。

“不止是消費(fèi)者感到困擾，公司企業(yè)也很無措，而且，為遵守這堆雜亂的法規(guī)耗費(fèi)巨大。”奧巴馬說。“有時候，公眾甚至直到收到賬單才知道自己的信用卡信息被盜了，而此時為時已晚。”

云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示，一套通行的法律，即使有些苛刻的條文，也會受到業(yè)界很多人的歡迎。

“我們一直在尋求一致性，如果可以在國家范圍內(nèi)形成更高的一致性，將會給業(yè)界帶來好處。”

此項提案提出了一個統(tǒng)一的30天通報時限，從數(shù)據(jù)泄露被發(fā)現(xiàn)那一刻起計時，30天內(nèi)必須將泄露情況通報給公眾。

奧巴馬稱：“我們還將補(bǔ)完法律上的漏洞，讓盜竊倒賣美國公民身份的罪犯無處可逃，即使逃掉海外也能將其追捕歸案。”

他還提出了《消費(fèi)者隱私權(quán)利法案》以保障消費(fèi)者有權(quán)決定自己的個人數(shù)據(jù)如何被公司企業(yè)所用，以及限制學(xué)生信息使用的《學(xué)生數(shù)字隱私法案》。

總統(tǒng)號召商業(yè)巨鱷和消費(fèi)者權(quán)益擁護(hù)者共同努力推進(jìn)這些法案的通過。“在這信息時代，保護(hù)我們的信息和隱私，不應(yīng)該只是某個黨派的事，而是我們美國人共同的事業(yè)。”

然而，之前類似法令屢遭腰斬，即使現(xiàn)在參眾兩院多數(shù)席位掌握在反對黨手中，留給此次法案的通過機(jī)會也不大。美國網(wǎng)絡(luò)安全協(xié)會SANS Institute新興趨勢理事John Pescatore如是說。就算兩院都贊成此項法案，他們也會將其效力削減到讓總統(tǒng)無法接受的程度。而且，那些重要的條款，比如數(shù)據(jù)泄露的具體定義之類 的，都還沒公布呢。

Pescatore問道：“數(shù)據(jù)泄露僅指簡單的數(shù)據(jù)遺失?某人丟了一卷磁帶找不回來了也要進(jìn)行通報?還是說有必要證明遺失的信息已被別人看過才能算?數(shù)據(jù)泄露的定義可是各州不同的。”

剛被網(wǎng)絡(luò)安全公司金雅拓收購的SafeNet首席戰(zhàn)略官Tsion Gonen說：“泄露事件各不相同。比如說，發(fā)生了數(shù)據(jù)載體遺失，卻仍然有加密等技術(shù)手段在保護(hù)數(shù)據(jù)不被攻破的可能性也是有的。”

賬戶管理軟件開發(fā)公司Thycotic Software的高級安全架構(gòu)師Kevin Jones稱：“30天是個咄咄逼人的窗口期。企業(yè)在公開泄露事件之前，得先全面調(diào)查泄露的程度，修復(fù)現(xiàn)行的安全漏洞。30天這么短的時限可能導(dǎo)致企業(yè)在 事件尚未調(diào)查清楚之前就承受不住壓力而公布，進(jìn)而引來更多的攻擊。”

安全公司Prelert的市場和產(chǎn)品戰(zhàn)略副總裁Kevin Conklin表示：“現(xiàn)在似乎沒什么東西可以刺激企業(yè)盡早發(fā)現(xiàn)數(shù)據(jù)泄露。一般而言，企業(yè)在200天后才會發(fā)現(xiàn)泄露。此時，對用戶的侵害已經(jīng)形成。強(qiáng)制企業(yè)盡早通報泄露事件很重要，但這些企業(yè)得主動采取措施盡早發(fā)現(xiàn)泄露。”

應(yīng)用軟件安全咨詢公司Cigital的總經(jīng)理Drew Kilbourne補(bǔ)充道：“急于披露泄露事件可能妨礙到司法部門和其他組織的調(diào)查。我們通常不立即披露泄露事件，以防警醒攻擊者，同時也為研究攻擊行 為，獲取新型竊取技術(shù)、攻擊手段、攻擊源爭取時間。此項法案防止不了數(shù)據(jù)泄露，也帶不來安全。數(shù)據(jù)泄露通報更多的是留住客戶和贏取公眾理解。更快的通報可能不過是粉飾太平而非有效舉措。”