据美国非营利政策研究组织战略与国际研究中心(CSIS)估算,每年因数据和其他知识产权失窃造成全球损失约4500亿至6000亿美元。
为抵御这个威胁,CSIS最近向特朗普政府提出了一系列网络安全建议(CSIS建议)。事实上,网络安全是最近美国总统大选中反复讨论的一个问题,尽管CSIS不建议进行一次多方面的审查,但普遍认为特朗普总统上台后将签署一项行政命令,要求立即审查所有美国的网络防御措施和薄弱点。虽然该命令尚未发出,但特朗普政府会非常重视CSIS的建议,因为该建议的工作组联席主席凯伦·伊文思(Karen Evans)是特朗普总统过渡团队的一员。
总体上看,CSIS建议旨在改进美国政府的网络安全措施,调整国际战略,加强与志同道合的国家的伙伴关系,同时阻吓攻击者。 CSIS认为,需要更多国家政府的干预,以改善网络安全防御,因为私人部门至今都尚未能有效地自行消除网络安全的威胁。 CSIS建议与澳大利亚政府在2016年初发布的四年网络安全战略、香港金融管理局的网络防卫计划及新加坡的网络安全法案拥有密切关系。
主要内容包括:
1. 实行更有效的威慑措施:
CSIS建议提高美国军方(负责抵御针对美国的网络攻击)和美国情报机构信息共享流程的效率。CSIS还建议增加使用制裁和诉讼以阻止国际网络攻击。
例如,2015年,美国计划使用多项制裁,向中国施加经济压力,迫使中国政府打击中国企业的商业间谍活动。而澳大利亚采取的惩罚措施较轻,这或许反映了我们的经济影响力更小,对国际贸易的依赖程度较大。澳大利亚积极与其他亚太国家合作,包括中国和印度,目标是采取务实的合作方式降低网络安全风险。
2. 加强公私部门在数据保护方面的协作:
CSIS 建议将个人数据保护纳入网络安全范畴,公私部门应合作制定一个有效保护个人数据的框架。
澳大利亚信息专员办公室发布了关于公司如何应对网络安全风险的指南。与CSIS建议一致,澳大利亚的网络安全战略也努力通过公私部门合作制定的全国性自愿网络安全指南,强化澳大利亚的网络防护能力。CSIS 和澳大利亚的战略均鼓励使用道德黑客计划来找出网络安全弱点。
3. 加强有关网络攻击的信息交流,增加透明度:
发生网络攻击后,出于法律和声誉影响方面的顾虑,受害者通常不愿公开相关信息。因此,CSIS 建议建立可以免责且匿名分享网络攻击信息的框架。值得注意的是,尽管美国一些州制定了强制报告数据泄露事件的法律,但还没有建立统一的全国性制度。
澳大利亚的网络安全战略还强调公私部门之间信息共享的必要性,澳大利亚正在制定强制通报数据泄露事件的规定。2016年《隐私法修正案(须报告的数据泄露)》于去年年底向众议院提出,已获两党的广泛支持,有望于今年通过。澳大利亚政府还表示,可能为电信行业专门立法,强制要求分享威胁国家安全的信息。但这些提案受到了行业代表的强烈批评,他们指出提案的范围不确定,会授予政府宽泛的强制权力。
