Cyber-sikkerhed regulering

I den amerikanske regering cybersikkerhed regulering, omfatter direktiver fra den udøvende magt og lovgivning fra Kongressen, at sikkerhedskontrol informationsteknologi og edb-systemer. Formålet med cybersikkerhed regulering er at tvinge virksomheder og organisationer for at beskytte deres systemer og informationer fra cyber-angreb. Cyberangreb omfatter virus, orme, trojanske heste, phishing, denial of service-angreb, uautoriseret adgang og kontrolsystem angreb. Der er mange midler til at forhindre, at cyberangreb. Cyber-sikkerhedsforanstaltninger omfatter firewalls, anti-virus software, intrusion detection og forebyggende systemer, kryptering og login passwords. Føderale og statslige regeringer i USA har forsøgt at forbedre cybersikkerhed gennem regulering og fælles indsats mellem regeringen og den private sektor for at tilskynde frivillige forbedringer cybersikkerhed.

Årsager til cybersikkerhed

Den amerikanske regering mener sikkerheden af ​​edb-systemer er vigtigt for verden af ​​to grunde. Den øgede rolle informationsteknologi og væksten i e-handel sektor, har gjort cybersikkerhed afgørende for økonomien. Også cybersikkerhed er afgørende for driften af ​​sikkerhedskritiske systemer, såsom nødberedskab, og beskyttelse af infrastruktur-systemer, såsom det nationale elnet.

Cyber-angreb mod vores nation fortsat forekommer på tværs af vores netværk. Baseret på DHS sekretær Janet Napolitano vidnesbyrd til Senatet i 2012, i 2011 alene, DHS amerikanske Computer Emergency Readiness Team modtaget mere end 100.000 hændelsesrapporter, og udgivet mere end 5.000 handlingsrettede cybersikkerhed advarsler og informationsprodukter. I januar 2013 Twitter, Wall Street Journal, New York Times, og Department of Energy hver rapporterede, at deres systemer var blevet tilsidesat. Så vidt vi ved, har disse angreb kun været en succes på sondering vores systemer og kompromittere data. Et vellykket angreb på vores kritiske infrastrukturer, kunne dog være ødelæggende for offentligheden. Richard Clarke, den tidligere særlige rådgiver om cybersikkerhed til George W. Bush, erklærede, at inden for de første 48 timer efter et cyberangreb, kunne USA oplever blandt andet: klassificerede og uklassificerede netværksfejl, store olieraffinaderi brande og gasledning eksplosioner, finansielle system sammenbrud med nogen idé om, hvem der ejer hvad, tog og undergrundsbaner afspore, og en landsdækkende blackout forlader byer i mørke. Forsvarsminister Leon Panetta udtalte i oktober 2012, at "et cyberangreb begået af nationalstater eller voldelige ekstremistiske grupper kunne være så ødelæggende som terrorangrebet på 11/9 ... Sådan en destruktiv cyber terrorangreb kunne lamme nationen".

Føderale regering regulering

Der er få føderale cybersikkerhed regler, og dem, der findes fokus på specifikke brancher. De tre vigtigste cybersikkerhed regler er fra 1996 Health Insurance Mobilitet og Accountability Act, Gramm-Leach-Bliley Act 1999, og Homeland Security Act 2002, som omfattede den føderale Information Security Management Act. Disse tre forordninger mandat, sundhedsorganisationer, finansielle institutioner og føderale agenturer beskytte deres systemer og informationer. For eksempel, FISMA, som gælder for enhver regering agentur, "kræver udvikling og gennemførelse af obligatoriske politikker, principper, standarder og retningslinjer for informationssikkerhed". Men har disse regler ikke løse mange it-relaterede industrier, såsom internetudbydere og softwarevirksomheder. Hertil kommer, at disse regler ikke præcisere, hvad cybersikkerhed foranstaltninger skal gennemføres og kræver kun en "rimelig" grad af sikkerhed. Den vage sprog disse regler lader meget plads til fortolkning. Bruce Schneier, grundlægger af Cupertino s counterpane Internet Security, hævder, at virksomhederne ikke vil gøre tilstrækkelige investeringer i cybersikkerhed medmindre regeringen tvinger dem til at gøre det. Han anfører også, at vellykkede cyber-angreb på regeringens systemer stadig forekomme trods af regeringens indsats.

Det er blevet foreslået, at Data Quality loven allerede Office of Management and Budget den lovhjemmel nødvendig for at gennemføre kritiske regler for beskyttelse infrastruktur gennem Administrative Procedure Act regelfastsættelse proces. Denne idé er ikke fuldt undersøgt og ville kræve yderligere juridisk analyse, før en regelfastsættelsen kunne begynde.

Statens offentlig regulering

Statslige regeringer har forsøgt at forbedre cybersikkerhed ved at øge den offentlige synlighed virksomheder med svag sikkerhed. I 2003, Californien bestået meddelelsen af ​​sikkerhedsbrud lov, som kræver, at enhver virksomhed, der vedligeholder personlige oplysninger af Californiens borgere og har et sikkerhedsbrud skal oplyse detaljerne for begivenheden. Personlige oplysninger omfatter navn, CPR-nummer, kørekort nummer, kreditkortnummer eller finansielle oplysninger. Flere andre stater har fulgt Californiens eksempel og bestået lignende underretning om sikkerhedsbrud regler. Disse underretning om sikkerhedsbrud regler straffer virksomheder for deres cybersikkerhed fiaskoer og samtidig give dem frihed til at vælge, hvordan du sikrer deres systemer. Også denne regel skaber et incitament for virksomhederne til frivilligt at investere i cybersikkerhed at undgå det potentielle tab af omdømme og den resulterende økonomisk tab, der kan komme fra en vellykket cyber-angreb.

I 2004 California State lovgivende bestået Californien Assembly Bill 1950, som også gælder for virksomheder, der ejer eller vedligeholder personlige oplysninger til borgere i Californien. Denne regulering dikterer, at virksomhederne opretholde en rimelig grad af sikkerhed, og at disse krævede sikkerhedspraksis også omfatte samarbejdspartnere. Denne regulering er en forbedring af den føderale standard, fordi det udvider antallet af virksomheder, der er nødvendige for at opretholde en acceptabel standard for sikkerheden på internettet. Men ligesom den føderale lovgivning, kræver det en "rimelig" niveau af cybersikkerhed, som lader meget plads til fortolkning, indtil retspraksis er etableret.

Andre regeringens bestræbelser

Ud over regulering, har den føderale regering forsøgt at forbedre cybersikkerhed ved at afsætte flere ressourcer til forskning og samarbejde med den private sektor til at skrive standarder. I 2003 til formanden nationale strategi Secure Cyberspace lavet Department of Homeland Security har ansvaret for sikkerhedsspørgsmål anbefalinger og forsker nationale løsninger. Planen kræver kooperative indsats mellem regeringen og industri "for at skabe et nødberedskab system cyberangreb og for at reducere landets sårbarhed over for sådanne trusler". I 2004 Kongressen afsat $ 4700000000 mod cybersikkerhed og opnå mange af de mål, der er angivet i præsidentens nationale strategi til Secure Cyberspace. Nogle industri sikkerhedseksperter anfører, at præsidentens nationale strategi til Secure Cyberspace er et godt første skridt, men er utilstrækkelig. Bruce Schneier erklærede, at "The National strategi til Secure Cyberspace har ikke sikret noget endnu". Men præsidentens nationale strategi klart, at formålet er at skabe en ramme for ejerne af edb-systemer til at forbedre deres sikkerhed snarere end regeringen at overtage og løse problemet. Alligevel er virksomhederne, der deltager i de kollaborative indsats er skitseret i strategien ikke forpligtet til at vedtage de fundne sikkerhedsløsninger.

I Den Europæiske Union, ville lovforslag "kræve, at alle virksomheder til at rapportere angreb på og brud på deres netværk til lokale myndigheder, hvilket ville være forpligtet til at offentliggøre dem." Forretningsservice lobbyister, mener dog, at sådanne love ville besudle brand omdømme og byrder virksomheder med høje overholdelsesomkostninger.

I USA, er Kongressen forsøger at gøre information mere gennemskuelig efter Cyber ​​Security Act fra 2012, som ville have skabt frivillige standarder for beskyttelse af vital infrastruktur, undladt at passere gennem Senatet. I februar 2013 udstedte Det Hvide Hus en bekendtgørelse, med titlen "Forbedring af kritisk infrastruktur cybersikkerhed", som gør det muligt for Obama administrationen at dele oplysninger om trusler med flere virksomheder og enkeltpersoner. I april 2013 Repræsentanternes Hus vedtog Cyber ​​Intelligence Sharing og Protection Act, som kræver beskyttelse mod retssager rettet mod virksomheder, som beskriver brud oplysninger. Obama Administration sagde, at det kan nedlægge veto mod lovforslaget.

Foreslåede forordning

Den amerikanske kongres har foreslået en lang række regninger, der udvider på cybersikkerhed regulering. Consumer Datasikkerhed og Notification loven ændrer Gramm-Leach-Bliley lov til at kræve offentliggørelse af sikkerhedsbrud af finansielle institutioner. Kongresmedlemmer har også foreslået "ekspanderende Gramm-Leach-Bliley til alle brancher, der berører finansielle oplysninger forbruger, herunder enhver virksomhed, der accepterer betaling med et kreditkort". Kongressen har foreslået cybersikkerhed regler ligner Californiens Bekendtgørelse af sikkerhedsbrud lov for virksomheder, der opretholder personlige oplysninger. Information beskyttelse og Security Act kræver, at data-mæglere "sikre data nøjagtighed og fortrolighed, godkende og spore brugere, opdage og forhindre uautoriseret aktivitet, og afbøde potentielle skade for enkeltpersoner".

Ud over at kræve virksomheder til at forbedre cybersikkerhed, er Kongressen overvejer også regninger, der kriminaliserer cyberangreb. Den Sikker Beskyt dig selv mod Cyber ​​Trespass lov var et lovforslag af denne type. Dette lovforslag, som fokuserede på phishing og spyware Lovforslaget blev vedtaget den 23. maj 2005 i USA Repræsentanternes Hus, men døde i Senatet. Dette lovforslag "gør ulovlig uautoriseret brug af en computer til at tage kontrol over det, ændre sin indstilling, indsamle eller inducere ejeren til at afslører personlige identificerende oplysninger, installere uopfordret software og manipulere med sikkerhed, anti-spyware eller anti-virus software ".

Den 12. maj 2011, foreslog den amerikanske præsident Obama en pakke af cybersikkerhed lovgivningsmæssige reformer for at forbedre sikkerheden i amerikanske personer, den føderale regering, og kritisk infrastruktur. Et år med offentlig debat og amerikanske Kongres høringer fulgte, hvilket resulterede i Hus i USA repræsentant passerer en informationsdeling regningen og det amerikanske Senat udvikle et kompromis lovforslag søger at skabe balance mellem den nationale sikkerhed, privatlivets fred og erhvervsinteresser.

I juli 2012 blev den Cybersecurity Act af 2012 foreslået af senatorer Joseph Lieberman og Susan Collins. Lovforslaget ville have krævet at skabe frivillige "standarder for bedste praksis" for beskyttelse af centrale infrastruktur fra cyberangreb, som virksomhederne ville blive tilskyndet til at vedtage gennem incitamenter såsom beskyttelse erstatningsansvar. Lovforslaget blev sat til afstemning i Senatet, men undlod at passere. Præsident Obama havde givet udtryk for sin støtte til loven i en Wall Street Journal op-ed, og den fik også støtte fra embedsmænd i den militære og den nationale sikkerhed, herunder John O. Brennan, chefen terrorbekæmpelse rådgiver for Det Hvide Hus. Ifølge The Washington Post, siger eksperter, at den manglende passere retsakt kan forlade USA "sårbare over for udbredt hacking eller en alvorlig cyberangreb". Loven var modstander af republikanske senatorer, herunder John McCain, som var bekymret for, at loven ville indføre regler, der ikke ville være effektiv og kunne være en "byrde" for virksomhederne. Efter senatet stemme, republikanske senator Kay Bailey Hutchison erklærede, at oppositionen til regningen var ikke en partisk problem, men snarere, at loven ikke tog den rette tilgang til cybersecurity.The senat stemme var ikke strengt sammen partipolitiske linjer, seks demokrater stemte mod loven, mens fem republikanere stemte. Kritikere af lovforslaget omfattede det amerikanske handelskammer, advocacy grupper, herunder American Civil Liberties Union og Electronic Frontier Foundation, cybersikkerhed ekspert Jody Westby og The Heritage Foundation, der begge hævdede, at selv om regeringen behøver at handle på cybersikkerhed, den 2012 lovforslag var behæftet med fejl i sin tilgang og repræsenterede "for påtrængende en føderal rolle".

I februar 2013 foreslog præsident Obama bekendtgørelsen Forbedring kritisk infrastruktur Cybersecurity. Den repræsenterer den seneste iteration af politik, men anses ikke for at være lov, da det ikke er blevet behandlet af Kongressen endnu. Den søger at forbedre eksisterende offentlig-private partnerskaber ved at øge aktualiteten af ​​informationsstrømmen mellem DHS og kritisk infrastruktur virksomheder. Det dirigerer føderale agenturer til at dele cyber trussel intelligence advarsler til nogen private sektor enhed identificeret som et mål. Det også opgaver DHS med at forbedre processen for at fremskynde sikkerhedsgodkendelse processer til gældende enheder offentlige og den private sektor for at aktivere den føderale regering at dele disse oplysninger på de relevante følsomme og klassificerede niveauer. Det styrer udviklingen af ​​en ramme for at reducere cyber risici, indarbejde nuværende branchens bedste praksis og frivillige standarder. Endelig opgaver de føderale agenturer involveret med at indarbejde beskyttelse af personlige oplysninger og borgerlige frihedsrettigheder beskyttelse i overensstemmelse med Fair Information Practice Principles.

Pro-regulering udtalelser

Mens eksperter er enige om, at cybersikkerhed forbedringer er nødvendige, er der uenighed om, hvorvidt løsningen er mere statslig regulering eller mere innovation i den private sektor. Mange embedsmænd og cybersikkerhed eksperter mener, at den private sektor har undladt at løse cybersikkerhed problemet og der er behov for regulering. Richard Clarke hedder det, "industri reagerer kun når du truer regulering. Hvis industrien ikke reagerer, er du nødt til at følge op. " Han mener, at software-virksomheder skal tvinges til at producere mere sikre programmer. Bruce Schneier understøtter også regulering, der tilskynder softwarevirksomheder til at skrive mere sikker kode gennem økonomiske incitamenter. US Rep. Rick Boucher foreslår at forbedre cybersikkerhed ved at gøre software selskaber ansvarlig for sikkerhedshuller i deres kode. Hertil kommer, at forbedre software sikkerhed, Clarke mener, at visse industrier, såsom forsyningsselskaber og internetudbydere, kræver regulering.

Anti-regulering udtalelser

På den anden side, mange private ledere mener, at mere regulering vil begrænse deres evne til at forbedre cybersikkerhed. Harris Miller, formand for Information Technology Association of America, mener, at regulering hæmmer innovation. Rick White, President og CEO for TechNet, modsætter også mere regulering. Han anfører, at "den private sektor fortsat skal være i stand til at forny sig og tilpasse sig til nye angrebsmetoder i cyberspace, og mod herpå vi rose præsident Bush og Kongressen for at udøve lovgivningsmæssige tilbageholdenhed". En anden grund mange private ledere er imod regulering er, fordi det er dyrt. Virksomhederne er lige så bekymrede over regulering reducere fortjenesten, som de er omkring regulering begrænser deres fleksibilitet til at løse cybersikkerhed problemet effektivt.

International reaktion

Internationale juridiske spørgsmål af cybersikkerhed er meget kompliceret i naturen på grund af lovvalg i cyberspace. Der er ikke nogen generel anvendelse internetsikkerhed traktat og mange juridiske eksperter mener, at en international cyber-sikkerhed traktat presserende er påkrævet. De mener, at cyber-sikkerhed samarbejde skal være et internationalt problem. For eksempel kan Tallinn Manual ikke påberåbes til at løse internationale cyber krigsførelse angreb og forsvar relaterede emner. Disse spørgsmål kan løses, når der er en virkelig effektiv international løsning for det samme. Da cyberangreb er af global karakter med en overbevisende forfatterskab tilskrivning, er det virkelig svært at tilskrive et cyberangreb til et bestemt land. Internationale juridiske spørgsmål af cyberangreb vil stige i nær fremtid som flere cyber brud på virksomheder som Target ville dukke op.

Indien

Indien har ingen dedikeret cyber-sikkerhed regulering selvom et par bestemmelser kan findes under de regler, indrammet under Informationsteknologi Act 2000. Selv National Cyber ​​Security Policy of India 2013 er forblevet ineffektiv og ikke-gennemførlige indtil nu. De internetsikkerhed tendenser og udviklinger i Indien 2013 leveres af Perry4Law s Techno Juridisk Base har listet manglerne ved indisk cyber sikkerhedspolitik generelt og indiske internetsikkerhed initiativer i særdeleshed. Indiske internetsikkerhed politik har undladt at beskytte borgerrettighederne af indianere, herunder privatlivets fred. Borgerlige frihedsrettigheder beskyttelse i cyberspace er blevet åbenlyst ignoreret af indiske regering og e-overvågning projekter er blevet holdt intakt af Narendra Modi regeringen. Alt dette har gjort cybersikkerhed Indien groft svag uden retlig forpligtelse for cyber sikkerhedsbrud oplysninger.

  0   0
Forrige artikel Chenab Valley
Næste artikel 65803 Didymos

Kommentarer - 0

Ingen kommentar

Tilføj en kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Tegn tilbage: 3000
captcha