公私協力合作夥伴關係

背景

business-discussions-2males-laptop-2

隨著市面上的科技發展日新月異,政府、企業和消費者面對的網路安全威脅手法也不斷翻新。 再加上政府、業界和民間大幅使用具備上網功能的裝置,讓網路安全問題變得更加棘手。 面對如此重大的問題,單憑一己之力是無法處理的。 因此我們需要建立有效的合作模式,也就是公私協力合作夥伴關係。

關鍵基礎架構之網路安全改善架構 (又稱為 NIST Cybersecurity Framework) 是目前公認相當成功的公私合作模式,眾多政府機關與重大基礎設施公司均採用這種合作關係。 NIST 模式能夠成功,關鍵在於政策制定者與私部門對症下藥,確實改善關鍵基礎架構安全性;加上 NIST 的執行過程公開透明,不僅廣納私部門的意見,也與重要相關合作者建立信任。因此,NIST 可說是在各界自發性合作的基礎上塑造而成的彈性架構,而非一套硬性規定。 政策制定者可正面看待這套架構近來的成效,這代表 NIST 在提升網路安全方面的確能達到預期成果。

對 McAfee 的重要性

McAfee 相信,網路安全方面的合作是擊敗網路攻擊者,以及保護我們的網路、資料、基礎架構,乃至生命安全的最佳方式。 我們相信強大的自發性公私合作夥伴關係,是解決我們面臨的巨大網路安全挑戰最有效的一劑良方。 這些合作夥伴關係促進了信任與創新,並且比過度限制和侵蝕信任關係的政府授權和法規更有助於創造長期成效。

McAfee 十多年來一直積極參與國土安全部 (DHS)、 NIST 與其他政府機關所主導的公私協力合作夥伴計劃, 並且在總統轄下的 National Security Telecommunications Advisory Committee (NSTAC),以及 Information Technology Sector Coordinating Council、Information Technology-Information Sharing and Analysis Center、National Cyber Security Alliance 和 National Cybersecurity Center of Excellence (NCCoE) 中身居領導地位。

我們同樣認為,在強大的合作關係下,只要詳加規劃一套策略並依此發展並推動技術, 就可以將其快速部署到各大安全性平台,讓這些平台能透過開放式通訊協定彼此交流。 因此,唯有結合科技、網路安全產業以及政府與私部門專業人士的力量,才能制定出成功的網路安全策略。 這就是協同合作的真正意涵。

原則建議

政策制定者應謹慎實施網路安全法規,且應支持自發性合作並採用業界認可的標準和最佳做法。 業界有責任維護網路安全,且應提高相關預算並讓管理階層與各個機構更為重視網路安全。

政策制定者以獎勵機制保障法律責任並放寬反壟斷規定,有效促進了私部門與政府之間及私部門之間分享廣泛使用的基礎資訊。 不過,主動與政府及業界分享網路威脅資訊的企業屈指可數, 讓我們難以建構一個高效能的資訊分享生態系統,使公部門和私部門能夠有效對抗複雜的全球駭客網路。

聯邦機構應將更多種類的威脅資料加以解密,並主動分享給私部門。 DHS 應核發更多安全許可證明給符合資格的公司代表,使其能存取最敏感、也可能最有價值的威脅資料片段或種類。 政府應將網路資訊分享稅收抵免法案納入法律,針對參與 Information Sharing and Analysis Centers (ISACs) 的相關費用提供稅金抵免退還優惠,藉此鼓勵各種規模的企業加入 ISAC。