当美国正努力扭转史上最糟糕网络安全事故带来的恶劣影响时,欧洲正准备为企业打造一种新的规则,阻止类似于equifax事件的网络安全事件发生,或者发生类似事件时让影响最小化。奥马巴政府时期的前网络安全协调官,网络威胁联盟的主席Michael Daniel称:“通常欧洲人很少怀疑他们的政府,而是更趋向于怀疑那些公司,在美国则是另外一种情况,这当然会对事件的发展造成一定的影响。”
欧洲新制定的这项规则被称为通用数据保护条例(GDPR),它将在明年5月份生效。GDPR条例规定了公司存储用户数据的方式,并且要求它们在漏洞出现后的72小时内通知当局。如果公司不执行,它们将被罚款4%的全球税收或者2千万欧元,两者选取最高额。而拥有欧洲用户信息的所有美国公司也必须遵循这一规定。
全球安全公司RSA的董事长Rohit Ghai称:“这一新规为公司赋予了责任,让其了解它们应当如何管理消费者的数据并且关注用户隐私。”由于equifax公司遭受的网络攻击致使1.43亿人的信息受到影响,美国是否需要建立某种规定的问题再一次被人们提出。
网络威胁联盟主席Daniel声称:“equifax就是一家主营数据管理的大公司,但是它的工作似乎做的让人并不满意。我们会希望拥有敏感数据的那些公司实现高标准的网络安全防护。但是我们并不清楚不同行业的关注标准。”
美国众议院的James Langevin在2015年引进了一项法案,呼吁公司在发现漏洞的30天内报告。除此之外,如果受影响人数超过5000,公司应当通知消费者和主流媒体。Ghai称:“在美国,在过去几年里已经形成了大量的管理重担,因此从商业环境的角度来说我们的管控太严了。”
美国国土安全部前网络安全副部长,vArmour公司首席网络专家Mark Weatherford称:“我宁愿看到市场主动行动,而不是借助规范强迫我们进行,因为那样总会出现意外结果。在美国我们拥有牛仔的历史和精神,我们想要自己做事,而不是依赖于硬性规定。但是我担心我们已经到了必须做出反应的时刻了,很明显我们做的并不足够。”
那么欧洲是最好的榜样吗?专家称,认为欧洲的新规定适用于美国的想法是错误的。除了美国拥有的文化趋向于与规则发生冲突之外,三天漏洞报告制度也受到一些审查,并且带来了什么时候开始计时的疑问。
Weatherford和其它网络安全专家都认为,这一状况很可能让人们探讨规则是否或者如何能够在网络安全上起到一定的作用。然而他们也认为,以目前的政治气候来说,任何议案事实上都难以通过。那意味着欧洲或许最终将成为美国的网络救星。
必须遵守欧洲数据保护规定的每一家美国公司,事实上不必将新规用在非欧洲客户的数据上。然而它们也很有可能将每个人的数据都像对待欧洲客户一样处理。Daniel称:“我认为会有公司遵守这些最具约束性的政策,并且将包括欧洲客户在内的每个人的数据都一视同仁。那可能是一种策略,但是我并不清楚是否所有的公司都会这样做。”
