聯邦安全規章是否真的有作用？

BRUCE SCHNEIER看法
安全規章談論的都是和經濟相關的議題。他基於以下的理論基礎：在資本社會裡，公司會採用利己主義來進行決策。這是一件好事，我們並不會期望公司扮演公眾慈善的角色；我們期望公司是一個利益團體。而實際狀況是，有些不會影響股價下跌的決策，才是好的決策－這被經濟學稱為外部客觀性。

公司不會將外部客觀性記載在帳目上，因為那是其他人的問題。如果我們想要將這個外部客觀性影響公司的決策，那麼就必須將他轉換為可影響決策的內部因素。然後資本主義的自然力量就會接管一切。

舉例來說：一家公司污染河川水源並且導致下游民眾死亡。公司內沒有任何一個員工住在下游地區，沒有任何公司的顧客住在下游區域，因此公司就不會關心這個問題。這就是標準的外部客觀性。如果社會想要這家公司不再污染水源，就必須轉換這個外部客觀性。不利條件（居住在下游的民眾提出告訴）和法律規定（規定不可以污染河川）就可以完成這個轉換。一個正常的公司就會開始花費更多的經費來預防河川污染。

這和電腦安全有何相關？每一件事都是相關的。

如果ChoicePoint公司採用了不好的安全機制並且某人偷走了我們的身分識別資訊，我們就受到損害了。但是對於ChoicePoint來說這件事是外部客觀性。ChoicePoint並不是慈善機關，並不會因為忽然的良心發現來增進它們的安全性。如果我們希望ChoicePoint負起保護我們資料的責任，我們就必須強制ChoicePoint去進行這項工作 。我們必須增加他們使用不好的安全機制時的成本，這樣公司才會認為使用良好的安全機制是值得的。

這應該是規章的背後涵義。不幸的，現實卻不是採用這個簡單的理論。我們現在所使用的規章，在詳細的規定裡面有著很大的問題。
以資訊不當洩漏相關法律為例：從條文來看，它們都是聰明的規章。當公司洩露資訊危害到公眾的時候，我們會增加這些危害的成本。不幸的是，大多數的成本都只是增加公司面對公眾時的羞愧感，尤其是在面對媒體時的羞愧。但是由於越來越多的公司丟失資料，媒體也變得越來越對這些故事不感興趣，公司面對公眾時也越來越沒有羞愧感。立意是好的，可惜影響是暫時的。
或者以沙賓法案來看：當我閱讀完這個法規，我無法確定它是否和電腦安全有關。但是所有人都認為沙賓法案和電腦安全有關，而且各個公司行號在電腦安全上投入各種資源，但投入的成本還是遠低於公司應負的社會責任。公司投入的這些資源只有部份真正的被運用在電腦安全上，大部分的資源都給了大型的稽核公司來產生對抗損害賠償的報表。對投入的資源進行優先權排序是良好的想法，可是付出龐大金額之後您得到了什麼？
較佳的例子是信用卡法規，規定了個人被詐騙的信用金額不得超過50美元。在法規制定之前，使用者信用卡上的金額損失對於信用卡公司來說是外部客觀性。因此，信用卡公司根本不關心安全的增強。然而法規制訂之後，我們才開始使用到活化信用卡的線上驗證介面和系統，以及偵測詐騙消費行為的資料探勘系統。這是多麼好的主意，而且也真正的增進了安全性。那麼良好的規章會有哪些特徵？
• 會針對特定的外部客觀性。
• 處罰夠重讓公司決定選擇依循著法章規定。
• 注重結果，而不是規定使用特定的技術或者組態設
定。
• 設置能夠修補安全問題的實體來主管安全問題。
聯邦安全規章是否真的有作用？如果規章寫的夠好，當然能有作用。只是很不幸的，只有少部分規章是真的制定得夠好，也因此筆者基於降低外部客觀性，還是比較喜歡使用損害賠償的方式來取代法律規章。
MARCUS RANUM看法
規章是個好主意，但是需要強制實施的有效手段－表示如果不遵從將會帶來嚴重的後果，而不該是使用溫和的懲戒。每一年都會有不同象， 很可惜我卻不這麼認為。整個安全規章的主意是為了建立最低限度的一致性，最佳實務－像是基本要素的引導介紹。我很抱歉如果我聽起來像是一個麻煩人士，但是要達到做得好不應該只是手冊式的導引，更應該說明優良安全承諾的矯正基準點。

這不應該是一場讓每個小孩都有糖吃的政治遊戲。美國聯邦政府機關花費大筆的經費將安全排行從F提升到D－可惜這個評等卻無法證明安全層級；反而證明了的政府部門取得聯邦資訊安全管理法(FISMA)D級的分數，而且隨便一個人都說相對於去年F級的成績，取得成績D是一個很大的進步。

我猜這樣的成績可以加深納稅人對於稅金有效達成微小改進的印聯邦政府機關的管理失當以及經費的浪費。

如同Bruce所說的，透過增加公司的損害賠償是一個較好的實作方式。你無法訓練精疲力盡的動物完成正確的動作。控股公司、政府機關和納稅人都會很輕易的被這些損害告訴給弄得精疲力盡；因此你必須指定有效溝通的最低標準。

很不幸的， 這些基準值通常都會訂得比較低。資訊安全已知的法規基準就有聯邦資訊安全管理法(FISMA)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)－這些法規都已經被過多的誇大－相信未來會持續的被誇大。

某位IT主管指出忽略健康保險流通與責任法案是一個成功的策略。因為經過幾年的實施之後可以發現，為了達成安全承諾的成本遠高過於不遵守法規的罰則。任何私人企業或者政府機關開始有以上想法是非常不好的，不過這也說明了開始有人會將這個法律上的漏洞考慮進它們的風險分析之中。

從聯邦政府的角度來看，當政府的IT管理者以及執行者都認為法規是「請遵守或者是請遵守某些部分」，你就可以了解為何整個法規制度會失效。
我贊成應該制定聯邦IT規章。事實上，我也很樂意協助撰寫部分規章。很不幸的，我的規定可能會讓許多的人員痛哭，因為他們可能要遵守類似的規定：「如果你的執法單位發現你網路中有十兆位元組的資料外洩到中國大陸，當你被通知之後，每一位從CIO之下的IT部門管理者都應該解雇。」我知道從來沒有公務人員會被解雇－不論他有多不適任－但是在目前狀況已經一團亂的時候應該是做些有幫助的事的時候了。
我們需要聯邦IT安全規章閱讀起來就像是Napoleon Bonaparte撰寫的一般，並且就像Vlad the Impaler的被強制實施－而不是像Alfred E. Neuman一樣的令我擔憂。
法律規章和損害告訴之間的平衡點大概是我和Bruce意見最大不同的地方。安全規章談論的都是和經濟相關的－這點他是對的。但是損害告訴也是同樣的狀況。採用經濟觀點來規劃安全的問題是它鼓勵人們相信安全是機會成本的問題，然而安全根本不存在機會成本。

相信安全可以透過損害告訴驅動，那就表示你還是將問題轉換成經濟議題，只有經濟議題才能驅使律師和提出告訴者。沒有一個人會願意等嚴重的安全問題造成了經濟影響後才來進行安全性的處置－知識戰爭所造成的經濟損失可能是無法衡量的，或者是等到發現對國家安全發生影響了才來處理。我們無法只是用金錢來衡量一切，在國家級的水準中D這個分數並不及格。我對於聯邦安全規章的感覺可以使用甘地(Gandhi)對於西方文明世界的評論：「我認為這是一個好主意。」但是，請確保我們所制定的規章擁有強制實施的有效手段。

Marcus Ranum現任職於Tenable網路安全公司的CSO，也是知名安全技術的開發人員、老師、及講師。Bruce Schneier 現任職於Counterpane網路安全公司的 CTO 及 Beyond Fear: Thinking Sensibly about Security in an Uncertain World這本書的作者。