去年，塔吉特（Target）、家得宝（Home Depot）和其他1000多家美国公司的信用卡违规行为都是由一种单一的恶意软件造成的，损失总计达数亿美元，甚至数十亿美元。在许多情况下，相关的公司直到这个威胁在他们的系统中存在了几个月后才知道。对于许多行业观察家来说，最痛苦的一点是时机：如果行业在第一个警告信号出现时就发出警报，最严重的损失本可以避免。

这个想法似乎引起了华盛顿的注意。今年2月，奥巴马总统签署了一项行政命令，以促进网络威胁信息共享，国会新一轮信息共享法案有望进一步扫清道路。上周，众议院通过了《保护网络法》，该法案将制定新的分享准则和责任保护，参议院预计在未来几周内将审议这项法案。与此同时，许多人认为PCNA和其他类似的法案是对其他中立网络的前所未有的入侵——罗恩·韦登称之为“另一个名字的监视法案”。虽然大多数研究人员仍然把自己看作工程师，但人们越来越担心这些新措施会把他们变成侦探。

“另一个名字的监视法案”

其结果是最近记忆中更令人费解的隐私权之争之一，因为国会希望合法授权已经在进行的信息共享，隐私权倡导者说，有关法案根本不是关于信息共享。那么，数据共享的方式有什么问题，新法案计划如何解决？更重要的是，他们能做到不把网络运营商变成间谍吗？

网络安全领域已经有很多信息共享，但往往是非正式的，联邦调查局等联邦机构往往是最后一个被列入名单的机构。只有少数攻击者会吸引眼球，足以发布公开报告，因此其他攻击者往往会通过较小的ListServ修补程序进行访问，每个服务都涉及特定问题，如DNS安全性或DDoS缓解。诺伊星公司高级副总裁罗德尼·乔夫（RodneyJoffe）说，他在数十个这样的渠道工作，结果是有效的，但压倒性的。”我不断地把我的甲板椅从一个篝火拖到另一个篝火上。在一个渠道中合适的可能对另一个渠道过于敏感，对于许多参与者来说，共享最终会在没有官方公司批准的情况下发生。”在许多情况下，公司不知道有这些反向通道，使车轮在公共汽车上，”乔夫说。

共享的信息通常很简单——一种特定的、易于防御的攻击，或者是最新形式的网络钓鱼电子邮件——但将其传递给所有合适的人可能很复杂，尤其是涉及商业秘密或违反披露法的情况下。最没有争议的是，新的信息共享法案旨在解决这一问题，为隐私和信息披露法律的复杂网络开辟一条法律之路。

“公司不知道有这些背道把车轮留在车上。”

但这些法案也对那些袭击背后的人采取了新的方法。对于执法机构来说，追踪威胁的重点是抓住背后的罪犯，而不仅仅是修复让他们进入的漏洞。如果像Target这样的袭击事件发生后有技术证据，FBI等机构希望利用这些证据找到肇事者，并希望将他们投入监狱。这与目前的研究格局有所不同，一般认为归因是修补漏洞和识别恶意代码的次要因素，但许多**官员认为这是必要的改变。这也是奥巴马总统的首要任务，他在2009年的****政策评估中提出了这一计划，内部人士说，这份文件仍在指导白宫在这一领域的议程。”评论中的一段话写道：“私营部门的关键因素表明，他们愿意努力建立一个框架，在这个框架下，**将追查恶意行为者。”。

这一转变反映在法案本身的文本中。该法案要求采取合理措施删除个人信息，但仅限于“识别与网络安全威胁没有直接关系的特定人员的信息”。如果你与威胁有关，那么收集你的个人信息是问题的一部分：否则他们将如何找出谁应对此负责？

“放弃隐私权不会让安全共享变得更好。”

与此同时，许多安全界人士认为，抓捕罪犯的努力分散了他们对更重要的安全系统工作的注意力。4月16日，67名不同的安全研究人员和技术人员签署了一封反对新法案的***，认为这些措施对防止攻击几乎没有作用。”信中写道：“个人用户的私人信息通常不利于开发威胁特征，因为我们需要能够识别攻击，无论攻击来自何处，也无论目标是谁。”放弃隐私权并不能使安全共享变得更好，“只要销售点终端易受攻击，就会有人利用它们；抓到一组网络窃贼，另一组将取代他们的位置。阻止盗窃的唯一方法是修复漏洞本身。

“网络安全威胁”的确切定义也引起了许多隐私倡导者的关注。欺诈或恐怖主义嫌疑人也可能被归类为威胁，将网络安全工作者纳入更广泛的调查范围。”这是为什么这是一项网络监控法案的核心，“互联网权利倡导组织Access的网络政策分析师DrewMitnick说我们不希望企业觉得他们需要调查这些与他们提供的网络安全服务完全无关的犯罪。”

目前还不清楚这些反对意见是否足以推翻新的立法。与CISPA不同的是，奥巴马总统公开支持这项新法案，最近一连串备受瞩目的黑客攻击似乎在这一问题上形成了罕见的两党共识。众议院已经尽了自己的职责，这些法案将在未来几周提交参议院，参议院可能会增加新的隐私保护措施。但很难说这些措施是否足够，任何信息共享法案都很难区分修补漏洞和追捕罪犯。无论国会发生什么，这种更大的分歧可能更难解决。