2017 年消费者隐私保护法
2017 年的《消费者隐私保护法》旨在保护客户的个人信息,避免身份盗用,向公民和组织通报安全漏洞并防止滥用敏感用户信息。 该法案适用于在规定时间内访问、收集、存储、使用和传输超过 10,000 名美国公民的个人身份信息的所有机构。相关的罚款和罚款不超过 500 万美元。但是,如果发现滥用数据是故意的,还可以处以额外 500 万美元的罚款。
了解美国网络安全法律法规
美国的网络安全法和隐私系统可以说是世界上最古老、最强大和最有效的系统。该国家隐私系统更多地依赖于事后的政府执法和私人诉讼。目前,网络安全法规包括来自行政部门的指令和来自国会的保护信息技术和计算机系统的立法。 网络安全监管的目的是迫使公司和组织保护其系统和信息免受网络攻击,例如病毒、特洛伊木马、网络钓鱼、拒绝服务 (DOS) 攻击、未经授权的访问(窃取知识产权或机密信息)和控制系统攻击。
联邦政府条例
有三个主要的联邦网络安全法规
- 1996 年健康保险流通与责任法案 (HIPAA=Health Insurance Portability and Accountability Act)
- 1999 年 Gramm-Leach-Bliley 法案
- 2002 年国土安全法(Homeland Security Act),其中包括联邦信息安全管理法 (FISMA=Federal Information Security Modernization Act)
这三项法规要求医疗保健组织、金融机构和联邦机构应保护其系统和信息。但是,这些规则在保护数据方面并非万无一失,只需要“合理”的安全级别。 例如,适用于每个政府机构的FISMA “要求制定和实施有关信息安全的强制性政策、原则、标准和指南”。 但是,这些法规并未涉及众多与计算机相关的行业,例如互联网服务提供商 (ISP) 和软件公司。此外,这些规定的模糊语言留下了很大的解释空间。
最近的联邦法律
在最近加强其网络安全法的努力中,联邦政府正在引入几项新的网络安全法,并修改旧的法律以建立更好的安全生态系统。以下是其中一些:
- 网络安全信息共享法 ( CISA=The Cybersecurity and Infrastructure Security Agency)
其目标是通过加强有关网络安全威胁的信息共享以及其他目的来改善美国的网络安全。该法律允许美国政府与技术和制造公司之间共享互联网流量信息。该法案于 2014 年 7 月 10 日在美国参议院提出,并于 2015 年 10 月 27 日在参议院获得通过 - 2014 年网络安全加强法案(Cybersecurity Enhancement Act of 2014):
它于 2014 年 12 月 18 日签署成为法律。它提供了一个持续的、自愿的公私合作伙伴关系,以改善网络安全并加强网络安全研发、劳动力发展和教育以及公众意识和准备。 - 2015 年联邦交换数据泄露通知法案:
该法案要求健康保险交易所尽快通知每个人,其个人信息已知因违反交易所维护的任何系统的安全性而被获取或访问,但不得迟于发现后 60 天违反。 - 2015 年国家网络安全保护促进法案:
该法律修订了 2002 年的《国土安全法》,以允许国土安全部 (DHS) 的国家网络安全和通信集成中心 (NCCIC) 将部落政府、信息共享和分析中心以及私营实体纳入其非联邦代表中. - 2022年3月1日,美国参议院通过《加强美国网络安全法》(Strengthening American Cybersecurity Act)。
州法律
州政府还采取了切实措施,通过提高安全性较弱的公司的公众知名度来改善网络安全。2003 年,加利福尼亚州通过了《安全漏洞通知法》,要求任何维护加州公民个人信息并存在安全漏洞的公司必须披露事件的细节。安全漏洞监管条例会惩罚公司的网络安全故障,同时让他们可以自由选择如何保护他们的系统。 该法规鼓励公司积极投资网络安全,以避免潜在的声誉损失和经济损失。这对加利福尼亚来说效果很好,后来其他几个州也实施了类似的安全漏洞通知规定。
纽约网络安全法
金融服务行业是网络安全威胁的重要目标。在过去几年中,纽约州金融服务部 (“DFS”) 一直在密切关注民族国家、恐怖组织和独立犯罪分子对信息和金融系统构成的日益严重的威胁。 迟到的网络犯罪分子试图利用技术漏洞来访问敏感的电子数据。这些犯罪分子可能会给受 DFS 监管的实体以及可能出于非法目的泄露和/或窃取私人信息的纽约消费者造成重大经济损失。 鉴于问题的严重性和所有受监管实体面临的风险,某些监管最低标准是有必要的,但不能过于规范,以便网络安全计划能够匹配相关风险并跟上技术进步的步伐。 因此,该法规旨在促进对客户信息以及受监管实体的信息技术系统的保护。该法规要求每家公司评估其特定的风险状况并设计一个以稳健的方式解决其风险的计划。 纽约网络安全法规自 2017 年 3 月 1 日起生效。自 2018 年 2 月 15 日起,涵盖实体将需要每年准备并向主管提交一份符合纽约州金融服务部网络安全法规的证明。
最后的想法
从上述美国网络安全法律法规来看,很明显政府一直在努力引入更严格的法律,以使组织能够保护数据免受最新网络威胁的影响。然而,Bruce Schneier正确地表示,尽管政府做出了努力,但对政府系统的成功网络攻击仍然发生。这也适用于私营公司。 建议组织积极关注其应用程序和数据的安全性。网络犯罪分子总是在四处游荡,并且在他们的攻击方法上变得越来越老练。出于同样的原因,公司应定期检查其系统,以识别任何漏洞 并立即解决漏洞。
参考
appknox.com