跟戴尔彼得森责任与监管

我把我最近的帖子在LinkedIn,指出ICS安全大师(S4)创始人戴尔彼得森好评论,这变成了一连串的评论和回复我们两个之间。因为我认为谈话是有价值的,我复制大部分(连同自己的评论在斜体)。

1. 我已经在我的第一篇文章关于这个话题,我基本上同意声明白宫网络战略的20页文档强烈暗示,供应商不应该能够“完全不负责任”。或者至少,我同意任何此类免责声明不应该埋在一份100页的用户协议签署之前,可以使用该软件。然而,如果供应商觉得他们甚至不能向公众提供的产品,除非他们否认或限制责任,他们提供一个单独的协议解决责任,我认为他们应该能够这样做。如果用户不想签字放弃责任,即使这意味着他们不能使用产品,他们会是免费的。同时,供应商需要退还用户已经支付任何钱,如果他们不签署单独的责任条款。
2. 不久之后第二个帖子(我最近的一个)出现时,戴尔一般评论,我回答说,“令人惊异的是这部分的作者认为它甚至可以转移责任。在我们的法律体系,建立责任案件。政府没有权力决定事先责任。”
3. 戴尔回复我的评论,“我不会去那么远。国会可以通过法律责任的转变。新闻部分230是一个很好的例子。(这是)不太清楚,行政部门可以转移责任,除了通过司法部案件进入法院。”
4. 我对戴尔回答说,“我相信你比我更了解,但在我看来,责任总是一个问题的情况下。在这里,我们讨论的是网络漏洞。甚至能说国会通过一项法律,供应商在任何违约责任,或者至少默认的假设是,他们承担责任?”我补充道,“我相信行政部门做不到,虽然我知道很多总统都试过了。”
5. 戴尔说:“引导我的校舍摇滚…国会通过了法案,行政迹象,司法审判他们。第230节是一个很好的例子。国会通过和执行签署《通信内容端正法案》。第230节提供免疫力在线计算机服务对第三方的责任由用户生成的内容。现在有情况下,一直到最高法院说国会不能使他们免于责任。
   会明智的国会通过的东西会被法院驳回?当然不是。我认为你的观点在这篇文章很好,没有讨论后宣布战略。”
6. 我回答说:“谢谢,戴尔。然而,在这种情况下,WH似乎将责任分配给软件供应商,而不是删除。我认为这是几乎像一个东西剥夺公权法案,这是宪法明确禁止。供应商现在可以承担责任,当然(尽管删除这些埋免责声明的责任是很重要的使用协议没有阅读我们所有的迹象,或者至少声明那些无法执行),但需要一个试验来确定这一事实。WH似乎想跳过试验,并进行正确的句子。”
7. 戴尔说:“很多是什么策略需要采取立法行动和拜登政府意识到了这一问题。你看到这个在文本和简报给。甚至很多监管他们想做的事将要求国会给行政部门更多的监管权力。”
8. 戴尔我回答说,”是有区别的法规和责任。绝对,国会可以给中钢协(因为这就是该机构在这一节中,我确信)监管权威。但珍伊斯特利表示,中钢协不是监管机构——我认为这是一个有利的位置。
   然而,似乎中国钢铁工业协会正试图为自己开发一个后门说默认供应商承担违反,然后希望这会吓到好实践。这种方法的问题是,而不是合理的监管罚款,现在供应商将受到巨大伤害奖大漏洞。
   我不是很担心这将发生,当然,因为这将有一个巨大的抑制作用在软件供应商和国会不会批准。所以,如果中钢协希望使用强制的方法,他们应该成为监管者和做。
   但由于中钢协不想是一个监管机构,他们不应该那么转身是一个刽子手。他们应该找出积极的激励供应商,但也为用户,因为它们经常的原因违反供应商”。
9. 第二天,我做了另一个评论,“我想补充的是,我并不反对供应商不得不付出巨大的赔偿,如果他们发现在一个试验是一个特别严重的违约责任。我对象是政府把他们的拇指在正义的天平,所以,责任将不确定试验。这是牛仔所采用的“解决方案”在我的帖子。”

谈话结束。我认为戴尔和我在协议上所有点,即:

1. 无论WH想做在这一节中,这需要国会采取行动。因为我认为这很难让国会名称乔治华盛顿现在邮局后,我认为这种行动的机会实际上是零。目前这是一个有争议的问题。
2. 是有区别的管理和分配责任。我们都认为监管应该被排除,但(这是我的意见,因为我还没有讨论它与戴尔)我认为唯一的监管是有意义的,当涉及到网络安全,是基于风险:即。,要求实体应该“识别和评估他们所面临的风险对于一个特定的域和供应链安全一样,然后制定计划减少最严重的风险,并按照计划。

自2013年以来,我可能写至少4 - 500的帖子NERC CIP网络安全需求,曾经是沉重地规定但现在完全是基于风险的(或者至少是基于风险的新需求。不幸的是,规范的需求仍大多书)。例如,cip - 013,供应链网络安全风险管理标准,完全是基于风险的(也许是一个错误,因为它提供了太少指导遵守意味着什么,IMO)。

3. 但是预先分配责任,所以,供应商认为是责任(或许很多钱),除非他们能证明他们没有责任,是纯粹的大跃进,坦白说奥威尔式。

去年8月,我写了一个帖子描述另一个行政部门的过度扩张,在这种情况下推出一些“自愿”关键基础设施网络安全要求,同时使其完全清楚,关键基础设施运营商别无选择,只能遵循这些要求(当然,因为有成百上千的方式,联邦政府每天触摸任何私人组织,这毫无疑问是一个威胁,对他们的生活造成困难,如果他们没有做他们被告知要做什么)。我开始说,

坏事情发生在政府机构试图采取简单的路径,而不是正确的,实现自己的目标。如果该机构试图让他们私人组织只知道是他们做正确的事情,他们比通常更诱惑采取简单的路径。毕竟,他们的目标是公义的!怎么能有人抱怨,如果他们只是竭尽所能实现这些目标?

这一段完全适用于我和戴尔在LinkedIn讨论。

我前经济学教授米尔顿•弗里德曼(Milton Friedman),当福特政府刚刚实施工资和物价管制,在课上说,“现在我们有了“自愿”工资和物价管制——这意味着,你会自愿做这个或者你会得到你的头切断。”

任何观点在这个博客是我严格,不一定是共享的任何客户的汤姆Alrich LLC。如果你想评论你所读到这里,我想听到你的声音。请给我发邮件tom@tomalrich.com。