他们'再见!国家数据泄露通知法案浮出水面

继一系列引人注目的数据泄露事件之后,立法者再次敦促联邦政府披露数据泄露事件。

经过几次重大违规-包括 厄普西隆, 了索尼花旗集团 导致客户财务数据暴露的事件-联邦立法者正在掩盖一个古老的主意:国家数据泄露通知法。

自成立以来 加利福尼亚数据泄露披露法,称为SB 1386,此后大多数州都效仿了, 全国各地的数据泄露通知法律杂乱无章。支持国家法律的人士认为,联邦数据泄露披露标准将简化业务规则,因此他们确切知道哪些事件会触发通知任务。

另请参阅:违规行为仍在继续:Bono Mack颁布了《安全数据法》

引入了一项立法, 2011年数据安全与违规通知法 由参议员Patrick Leahy(D-Vt。)和参议员Charles Schumer(DN.Y.)和Ben Cardin(D-Md。)共同赞助,将授权拥有个人信息的组织实施“合理的”安全性保证数据安全的程序。如果组织遭受破坏,则必须通知受影响的人。而且,根据当今已成为标准惯例的情况,组织必须在一段时间内为消费者提供信用报告或信用监视服务的访问权限。

同样在本周,众议员Mary Bono Mack(R-Calif。)发布了 法案草案 这也要求针对遭受数据泄露的企业制定国家通知标准。马克的法案将要求公司在评估违规范围后的48小时内通知联邦贸易委员会,并告知违规受害者。按照目前的形式,该立法将赋予联邦贸易委员会以权力,对不遵守的罚款公司进行罚款。

“电子商务是我们经济中至关重要且不断增长的一部分。我们应该采取步骤加以拥抱和保护,并从强大的网络安全性入手。最重要的是,消费者有权知道自己的个人信息何时遭到破坏,而公司和组织负有及时提醒他们的首要责任。” Bono Mack在一份声明中说。

另请参阅:企业风险管理

尽管有很大的胆量,但行业安全代表还是赞成这种联邦通知法。金融服务圆桌会议主席Leigh Williams表示,圆桌会议支持“统一的违规通知国家标准。鉴于现有的州和金融服务违规通知要求,这种迁移既需要强大的先发制人又需要与现有法规和定义保持一致。涵盖的数据。”威廉姆斯还表示,对于无法读取的数据,在没有合理损害风险的情况下以及在采取了预防财务欺诈措施的情况下,他们应予以豁免。

许多人争辩说,这样的立法有其优点和缺点。 “在理想情况下,它将实现一些有价值的目标。它将使受影响的人能够了解由于违反而造成的风险,如果有的话,” Enterprise Management Associates管理研究主管Scott Crawford说。 “足够详细的信息可以更好地指导更具体,甚至更有效的响应。它还可以提供与我们目前缺乏的安全成果有关的更多信息,这符合“新学校”的思想,可以使我们更好地了解攻击如何成功而安全策略失败,以及我们可以做得更好的地方,”他说。

克劳福德警告说,一旦法案通过立法程序,就无法保证会以这种方式得到解决。克劳福德说:“对尴尬和对业务的负面影响的恐惧并不是使组织像公开激励者那样强大的唯一因素,使他们无法公开披露。”他补充说:“在某些情况下,太多或太详细的披露可能会过早损害其他人。政府机构本身可能会要求某些组织保留特定信息,如果这可能对他们认为符合国家利益的内容构成威胁,”。

这是组织在进行任何游说或辩论和披露法案时将使用的最大杠杆手段之一。克劳福德说:“这表明了另一个担忧:任何由此产生的立法都将充满漏洞,以至于将其有效地绝育。”

乔治·赫尔姆在他位于明尼阿波利斯的家中撰写有关安全性和技术的文章。可以在Twitter上找到他 @georgevhulme。

版权© 2011 IDG通讯,Inc.