在 CISA 框架下，信息共享就是关爱——只要你做得对

mdzihadhosen987

• 去年，黑客利用恶意软件通过在线访问银行账户，试图窃取近 200 万次资金。
• 在超过 75 万台独立用户的计算机上检测到勒索软件。
• 卡巴斯基实验室解决方案击退了来自全球在线资源的近 8 亿次攻击。
• 2015 年，34.2% 的用户计算机至少遭受过一次网络攻击。

保护敏感数据免受大量网络威胁的侵害对于单个组织来说是一项不可能完成的任务。这就像派遣一名士兵与数百万军队作战。为了加强国家对网络威胁的防御能力，国会通过了《2015 年网络安全信息共享法案》（CISA），奥巴马总统签署了该法案。

CISA 使联邦政府和私营部门能够共享威胁情报信息（即所谓的网络威胁指标和防御措施）。遵守该法律是自愿的，法律承诺为选择按照法律要求披露此类信息的公司提供法律责任保护。

美国国土安全部 (DHS) 已正式启动共享威胁情报的机制，即自动指标共享(AIS) 计划。政府表示，AIS 将充当互联网的“发现威胁，报告威胁”。一旦 AIS 参与者发现并报告威胁，所有其他参与者都会知道。这一过程旨在以“机器速度”进行，“整个国家将能够更好地管理网络威胁”。

AIS 是否会将您的 PII 和 PHI 置于风险之中？
“机器速度”是一个很好的概念，但系统中的弱点可能会危及隐私。CIO Dive强调了 DHS 对 AIS隐私影响评估的一项发现，即尽管“广泛”流程可以删除不相关的个人身份信息 (PII)，但“仍然存在残余隐私风险，这些流程可能无法始终识别和删除不相关的 PII，从而传播的 PII 比与网络安全威胁直接相关的 PII 还要多。”

然而，正如FCW指出的那样，国土安全部将定期评估这些流程，以确保 PII 不会通过 AIS 计划“泄露”。根据隐私影响评估，国土安全部可以使用此反馈来调整特定威胁指标的定义。

Dark Reading指出了隐私影响评估的另一个发现，该发现基本上表明 AIS 参与者可以将 AIS 威胁情报信息用于 CISA 授权以外的其他目的。

分享者注意：披露信息前应了解什么
在考虑分享哪些信息时，律师布拉德·卡普 (Brad Karp) 在哈佛法学院公司治理和金融监管论坛博客文章中写道：“公司应该评估网络威胁指标或防御措施是否涉及敏感商业信息，并特别谨慎地评估分享此类信息的成本和收益。”

在实际共享信息时也应“特别小心”，这意味着要遵循针对非联邦实体制定的准则。此外，Dark Reading 文章和哈佛法律评论论坛博客文章对这些准则提供了一些很好的见解：

意识到你必须删除 PII，而且删除的内容可能比你想象的还要多。除了基本标识符之外，你可能还必须清除受其他法律保护的信息，例如《公平信用报告法》、《格雷姆-里奇-比利雷法案》和《儿童在线隐私保护法》。
请注意，上述隐私法并未涵盖所有隐私问题。Dark Reading 援引了民主与技术中心的 Jadzia Butler 的言论，她写道，这份名单不包括《电子通信隐私法》（ECPA）或《窃听法》，“这两项法律最有可能‘适用于’立法授权的信息共享，因为它们禁止……故意披露电子通信。”
要获得责任保护，请仅与 DHS 或将信息传递给 DHS 波兰电话号码的行业信息共享和分析中心(ISAC)共享数据。虽然该法案允许您与其他联邦机构共享网络威胁指标，但您不会获得责任保护。（顺便说一句，如果您有“特别敏感”的信息要分享，Karp 建议匿名分享，您可以通过 ISAC 或ISAO进行匿名分享。）
了解法律责任保护的额外限制。例如，Karp 指出，如果公司与州或地方政府或其他组织共享信息，则不会获得“不放弃特权保护”——它仅适用于联邦政府。此外，UnitedLex 首席隐私官 Jason Straight 指出，不仅共享威胁数据，而且通过 AIS 接收威胁数据都可能存在法律风险。“可以想象，你通过威胁共享收到威胁通知，却什么也没做，然后受到该威胁的威胁，这一事实可能会在诉讼甚至监管行动中对你不利，”他告诉 Dark Reading。
归根结底……
医疗保健。能源。金融。零售。政府。没有哪个行业能够免受网络攻击。因此，尽管存在隐私和其他方面的担忧，但共享威胁情报的想法并不令人反感，这也许并不奇怪。事实上，正如英特尔安全高级副总裁 Vincent Weafer 在Dark Reading上写道的那样，“安全专业人士几乎一致认为，网络威胁信息对他们的组织很有价值。”

当然，细节决定成败。Weafer 补充道：“随着我们深入研究人们对共享这些信息的态度和实施障碍，我们发现了误解和明显的沉默。”他说，其中一个误解是，网络威胁情报不包含任何 PII，“即使在共享文件声誉时也不例外。”

从长远来看，政府威胁情报共享计划的成功将取决于该计划本身的成功。这意味着计划参与者希望看到他们投入的时间和金钱获得回报。正如前白宫网络安全顾问 Paul Kurtz 在DC Inno 文章中所说，“……任何计划成功的关键在于为贡献者提供价值，并确保通信的私密性。”

这是 2015 年《网络安全法案》三部分系列文章的第三部分。阅读第一部分：网络安全竞赛和随之而来的隐私辩论。阅读第二部分：Apple 诉 FBI 案和 2015 年《网络安全法案》：共享数据前要问的 3 个问题。

标签： #网络安全、CISA、网络信息安全、ID 专家