奧巴馬總統(tǒng)前日在對聯(lián)邦貿易委員會的講話中提出一項新法案，希望設立數(shù)據(jù)泄露30天通報制度。

[[126450]]

他說，今年數(shù)起數(shù)據(jù)泄露事件，包括最近的索尼黑客事件，使我們的經濟更加脆弱，更易受侵害。

“今天，我的重點在于，怎樣更好地保護美國消費者不受身份盜用的侵害，怎樣更好地保護我們的隱私，包括在校學生們的隱私。”

講話伊始，奧巴馬便指出，幾乎每個州都有各自的法律條文規(guī)定了若遇數(shù)據(jù)泄露事件，應在何時以怎樣的方式通報公眾。

例如，關注數(shù)據(jù)隱私的美國著名律所貝克豪斯律師事務所的司法經驗顯示，從康涅狄格州的5天到俄亥俄州、佛蒙特州、威斯康星州的45天，通報時限差異很大。

“不止是消費者感到困擾，公司企業(yè)也很無措，而且，為遵守這堆雜亂的法規(guī)耗費巨大。”奧巴馬說。“有時候，公眾甚至直到收到賬單才知道自己的信用卡信息被盜了，而此時為時已晚。”

云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示，一套通行的法律，即使有些苛刻的條文，也會受到業(yè)界很多人的歡迎。

“我們一直在尋求一致性，如果可以在國家范圍內形成更高的一致性，將會給業(yè)界帶來好處。”

此項提案提出了一個統(tǒng)一的30天通報時限，從數(shù)據(jù)泄露被發(fā)現(xiàn)那一刻起計時，30天內必須將泄露情況通報給公眾。

奧巴馬稱：“我們還將補完法律上的漏洞，讓盜竊倒賣美國公民身份的罪犯無處可逃，即使逃掉海外也能將其追捕歸案。”

他還提出了《消費者隱私權利法案》以保障消費者有權決定自己的個人數(shù)據(jù)如何被公司企業(yè)所用，以及限制學生信息使用的《學生數(shù)字隱私法案》。

總統(tǒng)號召商業(yè)巨鱷和消費者權益擁護者共同努力推進這些法案的通過。“在這信息時代，保護我們的信息和隱私，不應該只是某個黨派的事，而是我們美國人共同的事業(yè)。”

然而，之前類似法令屢遭腰斬，即使現(xiàn)在參眾兩院多數(shù)席位掌握在反對黨手中，留給此次法案的通過機會也不大。美國網(wǎng)絡安全協(xié)會SANS Institute新興趨勢理事John Pescatore如是說。就算兩院都贊成此項法案，他們也會將其效力削減到讓總統(tǒng)無法接受的程度。而且，那些重要的條款，比如數(shù)據(jù)泄露的具體定義之類 的，都還沒公布呢。

Pescatore問道：“數(shù)據(jù)泄露僅指簡單的數(shù)據(jù)遺失?某人丟了一卷磁帶找不回來了也要進行通報?還是說有必要證明遺失的信息已被別人看過才能算?數(shù)據(jù)泄露的定義可是各州不同的。”

剛被網(wǎng)絡安全公司金雅拓收購的SafeNet首席戰(zhàn)略官Tsion Gonen說：“泄露事件各不相同。比如說，發(fā)生了數(shù)據(jù)載體遺失，卻仍然有加密等技術手段在保護數(shù)據(jù)不被攻破的可能性也是有的。”

賬戶管理軟件開發(fā)公司Thycotic Software的高級安全架構師Kevin Jones稱：“30天是個咄咄逼人的窗口期。企業(yè)在公開泄露事件之前，得先全面調查泄露的程度，修復現(xiàn)行的安全漏洞。30天這么短的時限可能導致企業(yè)在 事件尚未調查清楚之前就承受不住壓力而公布，進而引來更多的攻擊。”

安全公司Prelert的市場和產品戰(zhàn)略副總裁Kevin Conklin表示：“現(xiàn)在似乎沒什么東西可以刺激企業(yè)盡早發(fā)現(xiàn)數(shù)據(jù)泄露。一般而言，企業(yè)在200天后才會發(fā)現(xiàn)泄露。此時，對用戶的侵害已經形成。強制企業(yè)盡早通報泄露事件很重要，但這些企業(yè)得主動采取措施盡早發(fā)現(xiàn)泄露。”

應用軟件安全咨詢公司Cigital的總經理Drew Kilbourne補充道：“急于披露泄露事件可能妨礙到司法部門和其他組織的調查。我們通常不立即披露泄露事件，以防警醒攻擊者，同時也為研究攻擊行 為，獲取新型竊取技術、攻擊手段、攻擊源爭取時間。此項法案防止不了數(shù)據(jù)泄露，也帶不來安全。數(shù)據(jù)泄露通報更多的是留住客戶和贏取公眾理解。更快的通報可能不過是粉飾太平而非有效舉措。”