網路駭客猖獗 政府欲通過資訊安全法案 美國科技業仍舊有所隱憂

美國國家安全局主席 Michael Rogers (圖:AFP)

過去幾年來，美國企業不斷要求國會立法，防範科技犯罪。

《CNNMoney》報導，美國聯邦政府似乎看到企業長久以來的訴求，將投票表決，通過網路安全資訊共享法案 (Cybersecurity Information Sharing Act, CISA) ，讓美國企業能夠與政府機關更加密切地合作，防範科技犯罪、保障企業資訊安全。

如果某間企業遭受網路駭客攻擊，政府機關會立即收到訊息，並且通知其它機關協同調查，並且提醒其它公司要小心。

每一起網路駭客攻擊，都是傳染力極強的病毒造成，如果沒有連結的警示系統，科技公司的資訊則暴露於危險之中。

雖然電腦工程師與軍事專家都同意，要建立國內自動且共享的網路防衛機制。然而，並不是全部的科技公司都喜歡這樣的法案。

包括亞馬遜 (Amazon) (AMZN-US)、戴爾電腦 (Dell)、eBay (EBAY-US)、臉書 (Facebook) (FB-US)、谷歌 (Google) (GOOGL-US)、微軟 (Microsoft) (MSFT-US)、雅虎 (Yahoo) (YHOO-US) 等公司都認為這樣的機制會侵害到他們的機密資料。此外，蘋果 (Apple) (AAPL-US)、網路公司 Salesforce (CRM-US)、推特 (Twitter) (TWTR-US) 也都認為這樣的法案不太恰當。

就連資訊安全巨擘賽門鐵克 (Symantec) (SYMC-US) 也反對這樣的法案。

企業反對的原因，就是因為 CISA 法案，不僅幫助企業阻擋駭客，也會讓美國聯邦調查局 (FBI) 有滲入各大科技公司的管道。

此外，輿論也擔心如果法案通過，那麼美國國家安全局 (NSA) 在沒有法院的搜索票或是同意之下，就能夠自由存取各大企業的資料。

美國參議員 Ron Wyden 就曾表示，這樣的法案其實有隱藏的危險。

然而，美國其它產業，包括銀行業、能源業、醫院、保險業、電信業，甚至是 IBM (IBM-US) 都大聲疾呼，希望法案趕快通過。因為他們目前都遭受嚴重的網路攻擊，急需要幫助。[NT:PAGE=$]

網路駭客與企業現況

許多企業在駭客攻擊的當下，毫無招架之力。

首先、美國聯邦調查局專門調查網路駭客的探員表示，美國聯邦調查局目前深知駭客的技巧，也擁有許多駭客的資訊。但是制度規定，使得他們無法將這些訊息、技巧與一般企業分享。

第二、美國國土安全部 (Department of Homeland Security) 、美國聯邦調查局 (FBI)  、美國國家安全局 (NSA) 與其它機關之間，尚無建立資訊互惠平台，因此資訊統合速度依舊趕不上駭客的攻擊速度。

第三、一般企業都不傾向與政府機關共享資訊，除非企業被逼急了。

而 CISA 法案就是要統整上述情況的法案。

CISA 法案可能的運作模式如下

以銀行遭受電腦病毒攻擊為例。根據 CISA 法案，如果此銀行願意共享資訊：

1. 銀行首先必須完全清除客戶資料。

2. 將網路威脅資訊，傳給美國國土安全部

3. 美國國土安全部就會將這些資訊傳給美國聯邦調查局、美國國家安全局與其它政府部門，進而展開緝捕駭客的後續行動。

如果美國國土安全部要把資訊與其它公司共享，美國國土安全部也要先將企業相關的個人資料都先清除，才將訊息傳出。這一切都會由電腦系統自動操作。

聯邦政府每年會有 2 次檢查整體系統的機制，檢查是否有公民的資訊遭到侵害。[NT:PAGE=$]

市場仍有隱私疑慮

1. 法案著重於「即時」傳輸，也就是說，當駭客入侵事件發生時，企業可能沒有時間把機密檔案移轉或是刪除，就必須把相關內容與駭客入侵的資訊，一併傳輸給政府機關。

2. 縱使是傳輸網路威脅資訊，仍然有洩漏隱私的疑慮。

3. 如果其它機關不同意，那麼美國國土安全部就無法刪除私人資料檔案。

即使法律允許機關蒐集網路威脅資訊，讓公家機關可以調查立即的危害、經濟的危害、恐怖攻擊活動。但賽門鐵克首席政策律師 Jeff Greene 表示，這樣其實與法案的中心思想有些出入。

為了網路安全，企業可能會無意中洩漏更多客戶的資料。 CISA 法案中很重要的一條，就是規定要完全刪除企業所分享的資訊。上週，美國參議員 Rand Paul 表示，話是這樣說沒錯，但是誰知道，最後資訊有沒有被刪除。

極富國家安全經驗，並且同時身為電腦工程師與律師的 Jonathan Mayer 表示，他很擔心在整體調查過程之後，美國國土安全部卻沒有將檔案刪除。

不過也有前參議員表示，美國國土安全部曾經成功阻擋駭客的入侵，並且將個人隱私的傷害降到最低。不過，在此同時，聯邦政府將會擁有更大的權力與權限，能夠清楚看到企業內部的資料與運作模式。

如果週二 (27日) 參議院通過 CISA 法案，那麼將會把此法案與其它小型法案，一起再次投票，然後一併交由歐巴馬總統簽署。

過去也曾有 CISA 法案的討論議題，然而在小布希總統任內，一直無法通過表決。