|
跨大西洋数据流 隐私是未来的头条战场,充分说明了选民需求与国民经济之间的冲突。这可以从未解决但多年的尝试中看出,该尝试旨在找到将个人用户数据从欧洲传输到美国的合法解决方案。经济学要求它,但欧洲法律 (GDPR) 和大量欧洲公众舆论否认它。 在撰写本文时,几乎可以肯定将 PII 从欧洲转移到美国是非法的。隐私护盾——寻找 GDPR 变通办法的第二次尝试——在所谓的Schrems II法院裁决中被宣布为非法。该裁决的措辞几乎肯定排除了一种称为“标准合同条款”的替代方法。 2022 年期间,欧盟委员会 (EC) 和美国拜登政府一直致力于开发隐私盾的替代品。球显然在美国法院,2022 年 10 月 7 日,拜登发布了一项行政命令,以实施欧盟-美国数据隐私框架协议——有时被称为隐私盾 2.0。 这受到了美国企业的热烈欢迎。例如,IBM 发表了一份声明,“这些步骤将为已经根据隐私盾进行自我认证的数千家公司恢复确定性。在美国和欧盟之间提供可预测的、自由的数据流动将确保持续商业合作的互惠互利,并将为未来的经济增长奠定基础。” 我们对2023年的第一个预测是,欧盟委员会将批准拜登的行政命令,并允许“美国和欧盟之间的数据自由流动”。该审批正在办理中。EC 于 2022年12月12日发布了欧盟-美国数据隐私框架的充分性决定草案。 国际隐私专业协会 (IAPP) 副总裁兼首席知识官 Caitlin Fennessy 评论道:“正如预期的那样,该草案概述了委员会认为框架足够的推理,重点是美国的新必要性和相称性要求信号情报和最近的行政命令和司法部法规中概述的数据保护审查法院。” 但这仅仅是个开始。欧洲活动家,如 Max Schrems,可能会在欧洲法院挑战欧盟委员会的裁决。 基本问题仍然是美国国家安全局出于国家安全目的仅对非美国人(例如欧洲人)进行监视的要求。施雷姆斯的网站noyb已经表示不满。“根据新的行政命令(见第 2 (c)(ii) 节),所谓的'批量监视’将继续进行,尽管 CJEU 宣布美国监视法律和实践两次都不'相称’(根据欧洲对这个词的理解)。” 联邦隐私法大约十年来,美国政府一直在寻求制定联邦隐私法,但距离实现这一目标可能并不遥远。2022 年取得了进展,但中期选举将该法案搁置一旁,而立法者则专注于更紧迫的职业问题。问题是能否在 2023 年取回。 Taylor English Duma 律师事务所的合伙人 Mitzi Hill 认为这不太可能。“我仍然持怀疑态度,这在技术和法律上都是一个复杂的话题。每一项新的州法律都使它变得更加复杂,因为这是起草任何联邦立法时要考虑的一组新因素。传统上,我们预计共和党在众议院的多数席位(我们将在 2023 年拥有)将支持市场(而不是监管)解决方案,这使得任何事情都很难在国会两院获得通过。我个人的看法是,各州将继续在这一领域处于领先地位。” Symmetry Systems 的安全和 GRC 高级主管 Gopi Ramamoorthy 指出:“五个州已经颁布了隐私法,预计还会有更多州跟进。对隐私的日益关注源于欧盟引入 GDPR 和 Schrems II 决定。” 加州隐私权法案 (CPRA) 于 2023 年 1 月 1 日生效,并于 2023 年 7 月 1 日开始执行。它是现有 CCPA 的延伸,后者可能是美国最强大的隐私法案(并且在很大程度上模仿了关于 GDPR)。虽然它对小企业更友好一些,但它给了消费者更多的权利,对组织提出了更多的要求,并建立了一个执法机构。 消费者对隐私的需求很强烈,但不是绝对的——而且通常取决于放弃个人信息会得到什么回报。以谷歌为例,它被广泛认为是 PII 的主要收集者和用户之一。尽管如此,由于公司提供的“免费”服务作为交换,消费者继续使用谷歌。结果是立法者很难确切地知道他们的选民真正想要什么。 nVisium 高级应用程序安全顾问 Taylor Gulley 评论道:“隐私法律和法规将继续在完全无用——甚至有害——和对消费者来说惊人的胜利之间摇摆不定。这是由于公司游说和消费者 [选民] 的要求,尽管大多数消费者都希望获得完全的隐私,但对个性化内容和服务的需求不断增长,因此需要向公司提供更多信息。这种有价值的、有市场价值的信息的增加让公司有理由继续游说以谋取利益。” 2023 年值得关注的一个领域是 FTC 是否会成为“联邦”隐私监管机构。值得注意的是,联邦贸易委员会将消费者隐私方面的失败列为潜在的欺骗行为——而欺骗行为在联邦贸易委员会的管辖范围内是牢不可破的。 希尔建议道:“未来几年,联邦贸易委员会可能会在隐私问题上变得更加大胆,它最近采取了一项针对特定首席执行官和他可能加入的任何未来企业的执法行动。” 她解释说,他目前的公司存在多起侵犯隐私的行为,并且可能在第一组违规之后错误地陈述了其解决安全问题的程度。他未来的公司或雇主将被要求公布详细的安全计划。“据我所知,这是前所未有的,”她补充道。 涓滴监管安全尽管拜登不相信涓滴经济学,但他仍然利用了涓滴网络安全。没有国会的支持,他无法通过针对私营企业的联邦法律——但他可以(并且确实)发布行政命令,这些命令成为联邦机构的强制性指令和针对私营企业的强有力的涓滴建议。 如果安全供应商在向政府出售产品之前必须符合某些要求,那么政府市场的规模使其符合商业要求(如果不是法律要求的话)。此外,如果联邦机构需要应用某些网络安全方法,那么许多私营企业也会注意。 这两个条件均于 2021 年 5 月通过第 14208 号行政命令引入,刺激了零信任活动,并引入了软件物料清单 ( SBOM )。两者都旨在应对日益增长的供应链威胁,并且在 2023 年期间仍将是企业的首要考虑因素。 “SBOM 将继续获得主流采用,不仅来自正在构建他们销售的产品的软件/固件供应商,还来自正在构建供内部使用的应用程序和系统的内部开发团队,”NetRise 首席执行官 Tom Pace 评论道. 联邦政府在 2022 年 9 月 14 日发布的 OMB 备忘录中描述了对 SBOM 的要求。和固件——实际上很少有内部制造的。” 在 SBOM 达到目的之前会有一个磨合期——在此期间,攻击者可能会增加自己的努力。“对软件供应链的明显攻击始于对最薄弱环节的访问。随着我们进入 2023 年,随着新的安全软件开发实践的定义,各种规模的企业都必须参与其中,”BlackBerry 高级副总裁兼首席信息安全官 John McClurg 警告说。 行政命令并不是联邦政府可以使用的唯一工具——它还有 NIST(一个标准机构)和 CISA(一个国土安全部机构,负责加强各级政府的安全和基础设施)。虽然他们主要提供建议,但情况可能并非总是如此。 “近年来 CISA 和 NIST 的共同努力,”LogRhythm 订阅服务经理 Eric Hart 评论道,“已经产生了一系列新的跨部门网络安全性能目标 ( CPG ),组织已经开始实施这些目标。” CISA 的 CPG 旨在为可能没有资源直接进入 NIST CSF 的复杂性的组织提供更简单的途径以符合 NIST。“虽然这些标准旨在加强组织,”Hart 继续说道,“但实现完全合规的过程可能很棘手。这种复杂性,以及对联邦强制合规性的日益推动,表明随着越来越多的组织寻求采用这些新的安全标准,我们可能会在 2023 年看到一连串的活动。” 值得注意的是,CISA 将 CPG 描述为“自愿”且“不全面”,并补充说,“CPG 旨在补充 [NIST] 网络安全框架 (CSF),供寻求帮助的组织优先投资于有限数量的高影响安全性结果,无论是由于专业知识、资源或能力方面的差距,还是为了实现供应商、供应商、业务合作伙伴或客户之间的重点改进。” 但也值得考虑 Claroty 首席产品官 Grant Geyer 的评论,他在博客中表示,它们可能会成为白宫即将出台的法规的起点。“监管机构现在有一个 CISA 批准的、预先建立的关键领域清单,重点关注解决账户安全、数据和设备完整性、供应链和第三方风险以及响应和恢复等关键实践。” 我们可能还会看到 CISA 的 CPG 成为联邦机构的强制要求,并加入联邦法规的滴流过程。 Obsidian Security 的首席技术官兼联合创始人 Ben Johnson 看到了 CISA 的美好未来。“CISA 于 2022 年成立。明年,我们将看到 CISA 推动更好、更具弹性的安全性,尤其是在关键基础设施方面——提高整个行业的成熟度。” 法规丛林监管的轨迹是增加,而且正在迅速增加。这些包括可能影响在这些国家开展业务的美国公司的州级、联邦级和海外国家级。最后一个例子可能是澳大利亚目前计划对网络犯罪分子采取更积极的新态度。其中一部分将是在澳大利亚非法支付赎金。 有待决定的一个问题是,这将如何影响在澳大利亚开展业务的美国公司被勒索。支付赎金不违法的美国母公司能否代表澳大利亚公司支付赎金? 这种复杂性将需要公司的专家投入,以将其基础设施和流程与大量法规相匹配,以便了解他们的合规要求在哪些方面实际上是强制性的。 另一项由国会通过但针对联邦机构的新法律可能会在 2023 年初出台:《加强机构管理和软件资产监督法》。MeriTalk 于 2022 年 11 月 17 日报道,“该立法将命令联邦政府机构对政府使用的所有软件进行清点——以期最终制定战略来整合政府软件合同,创建政府范围内的软件许可证,并转向采用开源软件。” 这不是直接的网络安全法规,也不会对私营企业强制执行。然而,如果它的规则被行业采用,它可能会使行业团体受益,并单独导致公司内部安全工具蔓延的有益减少。 法规的全部内容超出了 2023 年法规的范围。但是,我们应该考虑一个要到 2024 年才会生效的法规:PCI DSS 4.0。这将影响所有存储、传输或处理持卡人数据和敏感身份验证数据的组织。新标准允许组织定制他们的方法来证明符合每个 PCI DSS 安全要求。 Skybox Security 高级技术总监 Terry Olaes 警告说:“如果组织朝这个方向发展,威胁行为者就有越来越多的机会利用可能采取非标准途径实现合规性的零售商。此外,实施这些法规的准备时间很长,这让攻击者有更多机会利用这些要求作为蓝图,在零售商有时间实施网络安全策略变更之前入侵零售商。” 还值得注意的是,虽然法规越来越多,但它们也越来越难以满足。Venafi 云原生解决方案高级总监 Sitaram Iyer 警告说:“随着多云、多集群在 2023 年成为一项战略,我们将在受监管的公司中看到更多失败的审计。” 这种策略在较小但受监管的组织中越来越受欢迎,因为它可以分散风险、提高性能并提供合规性所需的控制和可见性。 “然而,”Iyer 补充道,“这也增加了复杂性,因为这些环境是分散的,需要大量机器,这些机器都需要经过身份验证的身份才能安全通信。由于云原生环境中机器身份数量的增加,遵守机器身份管理法规是一个真正的挑战。” 其他内容Elon Musk 已经完成了对 Twitter 的接管,他虚张声势的管理风格甚至在 2022 年底之前就已经引起了骚动。这些与我们无关。然而,可能相关的是他坚持受宪法保护的言论自由概念;以及马斯克的新 Twitter 有可能以比旧 Twitter 更低的节制水平运行。值得注意的是,在 2022 年 11 月下旬,马斯克恢复了几乎所有之前因传播错误信息而被暂停的账户。 顺便说一句,2022 年 11 月 17 日,一群民主党参议员要求联邦贸易委员会调查该平台可能违反消费者保护法或其数据安全承诺的任何行为。美国联邦贸易委员会已经表示,它正在“深切关注 Twitter 的最新发展”。 更直接的相关性是,许多政府已经对不良行为者通过 Twitter 等社交媒体平台传播错误信息、错误信息和虚假信息——以及为极端主义观点发声的行为——表示担忧。这是对民主政府的直接挑战,一些政府建议通过让网站对其发布的用户生成内容负法律责任来应对。此类建议有可能在 2023 年期间增加。 Mitzi Hill 认为这在美国不太可能发生。虽然较低的节制可能会导致抗议的嚎叫,但“我从不反对第一修正案,”她说。“'国会不得制定法律......剥夺言论自由'是美国法律思想中最重要的原则之一。” 然而,欧洲的想法不同。欧盟已经制定了一项新的数字服务法案,该法案将于 2024 年 1 月生效。它不会让平台直接对任何未知的非法内容负责,但确实要求他们在被告知非法内容后将其删除。它还将对算法的工作和使用方式施加更大的透明度。它针对的是覆盖超过 10% 欧盟人口的平台;也就是说,至少有 4500 万欧盟用户——其中包括 Twitter 和 Facebook 等美国大型科技公司。违规可能导致高达年营业额 10% 的罚款。 最后坦帕市首席信息安全官 Martin Zinaich 曾向《安全周刊》建议,“如果不需要,就不会发生。” 我们可能已经到了这样的地步,网络犯罪分子组织得更好,民族国家更具侵略性,这是必须发生的,因此也是必须的。 NetSPI 的医学博士 Ron Kuriscak 对此深信不疑。“法规需要变得更加成熟、严格和具有惩罚性。我们必须让组织对他们在网络安全领域的不作为承担更多责任……组织将对基本的网络安全卫生负责。如果他们无法满足最基本的标准,监管机构将要求第三方接管网络安全计划的执行(他们将被强制承担相关费用)。与 FDA 类似,我们将开始看到与行业一致的合规性法规,以及真正的处罚,这将迫使真正的合规性和组织变革。关键在于执法和处罚。” 但不要对联邦政府在 2023 年抱太大期望。“在联邦政府的网络安全问题上,”Telos Corporation 政府事务经理 Robert DuPree 解释说,“国会更加积极有效,但 2023 年的进一步进展将受到以下因素的阻碍事实上,来自两党的一些长期网络政策倡导者和专家——包括参议员罗伯·波特曼 (R-OH)、众议员吉姆·朗之万 (D-RI) 和众议员约翰·卡特科 (R-NY)——即将退休并获胜。大约在 2023 年左右。他们的缺席将在通过国会推动“好政府”网络安全问题时留下巨大的空白。
|
|
|
