사이버보안규제

Cyber-security regulation

사이버보안 규제는 기업과 조직에게 바이러스, 웜, 트로이 목마, 피싱, 서비스 거부(DOS) 공격, 무단 액세스(지적권 침해) 등 사이버 공격으로부터 시스템과 정보를 보호하도록 강제할 목적으로 정보기술컴퓨터 시스템을 보호하는 지침으로 구성된다.ty 또는 기밀 정보)제어 시스템 공격.[1] 사이버 공격을 막기 위해 이용할 수 있는 수많은 조치들이 있다.

사이버보안 대책에는 방화벽, 안티바이러스 소프트웨어, 침입 탐지방지 시스템, 암호화, 로그인 암호 등이 포함된다.[2] 사이버보안에 대한 자발적인 개선을 유도하기 위해 정부와 민간간의 규제와 협력 노력을 통해 사이버보안을 개선하려는 시도가 있었다.[1] 은행 감독기구를 포함한 업계 감독기구는 사이버 보안의 위험을 알아차렸고 사이버 보안을 규제 심사의 한 측면으로 포함시키기 시작했거나 계획 중이다.[1]

배경

2011년 DoD는 사이버 공간을 운영 영역으로 취급하고, DoD 네트워크와 시스템을 보호하기 위한 새로운 방어 개념을 채택하며, 다른 기관 및 민간 부문과 제휴하여 "정부 사이버 공간 운영을 위한 국방 전략부"라는 5가지 목표를 명확히 한 지침을 발표했다."큐리티 전략"은 집단 사이버 보안을 지원하고 신속한 기술 혁신이 가능한 사이버 인력의 개발을 지원하기 위해 국제 동맹국과 협력한다.[2] 2011년 3월 GAO 보고서는 연방 정보보안이 1997년 이후 고위험 지역으로 지정되었다는 점에 주목하여 "연방정부의 정보 시스템과 국가의 사이버 중요 인프라를 정부 전체의 고위험 지역으로 보호한다는 것을 확인했다"고 밝혔다. 2003년 현재 사이버 CIP의 사이버 중요 인프라 보호라고 불리는 중요 인프라를 보호하는 시스템도 포함되어 있다.[3]

2013년 11월 DoD는 새로운 사이버 보안 규칙(78 Fed)을 내놓았다. 계약자에게 특정 요건을 부과한 Reg. 69373): 특정 NIST IT 표준 준수, 사이버 보안 사고에 대한 DoD에 대한 의무 보고, 하청업체에 동일한 요건을 적용하는 "흐름다운" 조항.[4]

2013년 6월 의회 보고서는 사이버 보안 준수와 관련된 50개 이상의 법령이 있다는 것을 발견했다. 2002년 연방 정보 보안 관리법(FISMA)은 연방 사이버 보안 규정을 관리하는 주요 법령 중 하나이다.[4]

미국

연방 정부

연방 사이버 보안 규제와 특정 산업에 초점을 맞춘 규제가 거의 없다. 사이버보안 3대 규제는 1996년 건강보험 이식성책임성법(HIPAA), 1999년 그래미-리치-블레이리법(Gramm-Leach-Bliley Act), 2002년 국토보안법(FISMA)으로 연방정보보안법(Federal Information Security Management Act, FISMA)이 포함됐다. 이 세 가지 규정은 의료 기관, 금융기관, 연방 기관이 그들의 시스템과 정보를 보호하도록 의무화한다.[3] 예를 들어 모든 정부기관에 적용되는 FISMA는 "정보보안에 관한 의무적인 정책, 원칙, 표준, 가이드라인 개발 및 이행을 요구한다"고 한다. 그러나 이 규정은 인터넷 서비스 제공업체(ISP)나 소프트웨어 회사 등 수많은 컴퓨터 관련 산업은 다루지 않는다.[4] 게다가, 이 규정들은 어떤 사이버 보안 조치를 실행해야 하는지 명시하지 않고 오직 "합리적인" 수준의 보안만 요구한다. 이 규정들의 모호한 언어는 많은 해석의 여지를 남겨두고 있다. 쿠퍼티노의 카운터파인 인터넷 시큐리티 설립자인 브루스 슈나이어는 정부가 사이버 보안에 대한 투자를 강요하지 않는 한 기업들이 사이버 보안에 충분한 투자를 하지 않을 것이라고 주장한다.[5] 그는 또한 정부의 노력에도 불구하고 정부 시스템에 대한 성공적인 사이버 공격은 여전히 일어나고 있다고 말한다.[6]

데이터 품질법이미 행정절차법 규칙 제정 과정에 의해 중요한 기반시설 보호규정을 시행할 수 있는 법적 권한을 관리예산처에 제공한다는 의견이 제기되었다. 그 아이디어는 완전히 검증되지 않았고 규칙 제정이 시작되기 전에 추가적인 법적 분석이 필요할 것이다.[5]

주 정부

주 정부는 보안이 취약한 기업의 공공 가시성을 높여 사이버 보안을 향상시키려 했다. 2003년 캘리포니아주는 캘리포니아 시민의 개인정보를 유지하고 보안침해가 있는 회사는 반드시 행사의 세부사항을 공개하도록 하는 보안침해금지법을 통과시켰다. 개인 정보에는 이름, 사회 보장 번호, 운전면허 번호, 신용카드 번호 또는 금융 정보가 포함된다.[7] 몇몇 다른 주들은 캘리포니아의 예를 따랐고 유사한 보안 침해 통보 규정을 통과시켰다.[8] 그러한 보안 침해 통보 규정은 기업의 사이버 보안 실패에 대해 처벌하는 동시에 기업의 시스템 보안 방법을 선택할 수 있는 자유를 준다. 또한, 이 규제는 기업들이 사이버 보안에 자발적으로 투자하여, 잠재적인 평판 상실과 성공적인 사이버 공격으로부터 발생할 수 있는 경제적 손실을 피할 수 있도록 동기를 부여한다.[6]

2004년에 캘리포니아의회는 캘리포니아 주민을 위한 개인 정보를 소유하거나 유지하는 사업에도 적용되는 1950년 캘리포니아 주 의회 법안을 통과시켰다. 이 규정은 기업이 합리적인 수준의 보안을 유지하도록 규정하고 있으며, 보안 관행도 협력업체에까지 확대하도록 규정하고 있다.[9] 이 규정은 허용 가능한 사이버 보안 표준을 유지하는 데 필요한 기업의 수를 확대하기 때문에 연방 표준의 개선이다. 그러나 연방법제와 마찬가지로 '합리적인' 수준의 사이버 보안이 요구되기 때문에 사례법이 제정될 때까지 해석할 여지가 많다.[10]

제안규정

미국 의회는 사이버 보안 규제로 확장되는 수많은 법안을 발의했다. 소비자 데이터 보안 알림법은 금융기관의 보안 침해 사실을 공시하도록 그램-리치-블레이리 법을 개정한다. 국회의원들은 또한 "그램-리치-블릴리를 신용카드로 결제하는 회사를 포함하여 소비자 금융 정보를 건드리는 모든 산업으로 확대"[11]를 제안했다. 의회는 개인정보를 관리하는 기업에 대해 캘리포니아 주의 보안침해 통보법과 유사한 사이버 보안 규정을 제안했다. 정보보호보안법은 데이터 중개업자가 "데이터의 정확성과 기밀성을 보장하고, 사용자를 인증·추적하며, 무허가 활동을 탐지·예방하고, 개인에 대한 잠재적 위해를 경감한다"[12]고 규정하고 있다.

의회는 기업의 사이버 보안 개선을 요구하는 것 외에 사이버 공격을 범죄화하는 법안도 검토하고 있다. 사이버 침입으로부터 자신을 안전하게 보호하는 법(SPY ACT)은 이런 유형의 법안이었다. 피싱과 스파이웨어 법안에 초점을 맞추었으며, 2005년 5월 23일 미국 하원에서 통과되었으나 미국 상원에서 사망하였다.[6] 법안은 "컴퓨터를 무단으로 사용함으로써 컴퓨터를 통제하고 설정을 변경하며 개인 식별 가능 정보를 수집 또는 공개하도록 유도하고 소유자가 원치 않는 소프트웨어를 설치하며 보안, 스파이웨어 방지 또는 바이러스 백신 소프트웨어를 변조하는 행위를 불법으로 규정한다"[13]고 밝혔다.

2011년 5월 12일, 미국 버락 오바마는 미국 국민, 연방 정부, 중요 인프라의 보안을 개선하기 위한 사이버 보안 입법 개혁 패키지를 제안했다. 1년간의 공개 토론과 의회 청문회가 이어졌고, 하원은 정보 공유 법안을 통과시켰고 상원은 국가 안보와 사생활, 기업 이익의 균형을 맞추기 위한 타협안을 개발했다.

2012년 7월 조지프 리버먼 상원의원과 수잔 콜린스 상원의원이 사이버보안법을 발의했다.[14] 이 법안은 사이버 공격으로부터 핵심 기반시설을 보호하기 위한 자발적인 "모범 사례 표준"을 만들도록 요구했을 것이며, 이 표준은 기업이 책임 보호와 같은 인센티브를 통해 채택하도록 권장될 것이다.[15] 그 법안은 상원에서 표결에 부쳐졌으나 통과되지 못했다.[16] 오바마 대통령은 월스트리트저널(WSJ)에서[17] 이 법에 대한 지지의 목소리를 냈으며 존 브레넌 백악관 대테러 수석보좌관 등 군과 국가안보 관계자로부터도 지지를 받았다.[18][19] 워싱턴 포스트에 따르면, 전문가들은 이 법을 통과시키지 못하면 미국이 "광범한 해킹이나 심각한 사이버 공격에 취약해질 수 있다"고 말했다. [20] 존 매케인 같은 공화당 상원의원들은 이 법이 실효성이 없고 기업에 '부담'이 될 수 있는 규제를 도입할 것을 우려해 반대했다.[21] 상원 표결 후, 공화당 상원의원 케이 베일리 허치슨은 이 법안에 대한 반대는 당리당략적인 문제가 아니라 사이버 보안에 대한 올바른 접근법을 취하지 않는다고 말했다.[22]상원 표결은 민주당 의원 6명이 반대표를 던졌고, 공화당 의원 5명이 반대표를 던졌기 때문에 당파적 노선을 엄격히 따르지 않았다.[23] 이 법안의 비평가들은 공회는 미국 시민 자유 연합과 전자 프론티어 Foundation,[25]사이버 보안 전문가 조디 웨스트처럼 Commerce,[24]의식 화란 옹호 단체들의, 그리고 헤리티지 재단, 그는 정부 사이버 보안에 작용해야 한다, 그 법안이 접근법과 represente에 결함이 있다고 주장했다를 포함했다.d가``너무 연방의 역할을 침해한다."[26]

2013년 2월, 오바마는 중요한 인프라 사이버 보안을 개선하는 행정명령을 제안했다. 그것은 최근의 정책 반복을 나타내지만 아직 의회에서 다루지 않았기 때문에 법으로 간주되지 않는다. DHS와 중요 인프라 기업 간 정보 흐름의 적시성을 높여 기존의 민관 협력의 개선을 도모한다. 그것은 연방 기관이 사이버 위협 인텔리전스 경고를 대상으로 식별된 민간 부문 기관에게 공유하도록 지시한다. 또한 연방정부가 이 정보를 적절한 민감하고 분류된 수준에서 공유할 수 있도록 해당 공공 및 민간 부문 법인에 대한 보안 허가 프로세스를 촉진하기 위한 프로세스를 개선하는 DHS도 담당한다. 그것은 현재의 업계 모범 사례와 자발적인 표준을 통합하여 사이버 위험을 줄이기 위한 프레임워크 개발을 지시한다. 마지막으로, 그것은 프라이버시 및 시민의 자유 보호를 공정한 정보 관행 원칙에 따라 통합하는 데 관련된 연방 기관의 업무를 수행한다.[7]

2015년 1월 오바마 대통령은 새로운 사이버보안 입법안을 발표했다. 이 제안은 증가하는 사이버 범죄로부터 미국을 준비시키기 위한 노력으로 이루어졌다. 이 제안에서, 오바마는 미국을 위해 더 안전한 사이버 공간을 위해 노력하기 위한 세 가지 주요 노력의 개요를 제시했다. 첫 번째 주요 노력은 사이버 보안 정보 공유의 활성화의 중요성을 강조했다. 이를 가능하게 함으로써, 그 제안은 정부와 민간간의 정보 공유를 장려했다. 그렇게 되면 정부는 민간 기업들이 직면하고 있는 주요 사이버 위협이 무엇인지 알 수 있게 되고 정부가 그들의 정보를 공유한 기업들에 대해 책임 보호를 제공할 수 있게 될 것이다. 게다가, 그것은 정부가 미국이 보호받아야 할 것에 대해 더 잘 이해할 수 있게 해줄 것이다. 이 제안에서 강조된 또 다른 주요 노력으로는 사법당국을 현대화하여 사이버 범죄에 대처하기 위해 필요한 도구를 제공함으로써 사이버 범죄에 적절히 대처할 수 있도록 하는 것이었다. 그것은 또한 사이버 범죄와 결과의 분류를 갱신할 것이다. 한 가지 방법은 금융정보의 해외판매를 범죄로 만드는 것이다. 이 노력의 또 다른 목표는 사이버 범죄를 기소할 수 있도록 하는 것이다. 입법 제안의 마지막 주요 노력은 개인 정보가 희생된 경우 기업이 소비자에게 위반 데이터를 보고하도록 요구하는 것이었다. 기업이 그렇게 하도록 요구함으로써, 소비자들은 그들이 신분 도용 위험에 처했을 때를 인식하게 된다.[8]

오바마 대통령은 2016년 2월 사이버안보국가안보실천계획(CNAP)을 수립했다. 이 계획은 사이버 위협으로부터 미국을 보호하기 위한 노력의 일환으로 장기적인 행동과 전략을 수립하기 위해 만들어졌다. 이 계획의 초점은 사이버 범죄의 증가하는 위협에 대해 대중에게 알리고, 사이버 보안 보호를 개선하며, 미국인들의 개인정보를 보호하며, 디지털 보안을 통제하는 방법에 대해 미국인에게 알리는 것이었다. 이 계획의 주요 내용 중 하나는 "국가 사이버 보안 강화 위원회"를 만드는 것이다. 이를 위한 목표는 공공 및 민간 부문의 사이버 보안을 강화하는 방법을 권고하는 데 기여할 수 있는 관점을 가진 다양한 사상가 그룹으로 구성된 위원회를 만드는 것이다. 그 계획의 두 번째 하이라이트는 정부 IT를 바꾸는 것이다. 새로운 정부 IT는 보다 안전한 IT가 구축될 수 있도록 만들 것이다. 세 번째 하이라이트는 다단계 인증을 통해 미국인이 온라인 계정을 확보하고 개인정보 도용을 피할 수 있는 방법에 대한 지식을 제공하는 것이다. 이 계획의 네 번째 하이라이트는 2016년에 투자한 돈을 사이버 보안에 35% 더 투자하는 것이다.[9]

기타 정부 노력

연방정부는 규제 외에도 연구에 더 많은 자원을 할당하고 민간 부문과 협력하여 표준을 작성함으로써 사이버 보안을 향상시키려 노력해왔다. 2003년, 대통령의 사이버 공간 확보를 위한 국가 전략국토안보부가 보안 권고와 국가 해결책을 연구하도록 했다. 그 계획은 정부와 산업계"들이 사이버 공격에 처음 와서 이런 위협은 우리 나라의 취약성을 줄이기 위해 비상 대응 시스템을 구축하기"[27]사이에 2004년에 공동 노력 요청은 미국 의회 사이버 보안과 보안 Cybe에 목표가 대통령의 국가 경영 전략에 명시한 시간의 많은 달성하기 위해 47억달러의 생산 유발했다.rsp일부 산업 보안 전문가들은 사이버 공간을 확보하기 위한 대통령의 국가 전략은 좋은 첫걸음이지만 불충분하다고 말한다.[28][29] 브루스 슈나이어는 "사이버스페이스 보안을 위한 국가 전략은 아직 아무것도 확보하지 못했다"고 말했다. [30] 그러나, 대통령의 국가 전략은 컴퓨터 시스템의 소유주들이 그 문제를 정부가 인수하고 해결하기 보다는 그들의 보안을 향상시킬 수 있는 틀을 제공하는 것이 목적이라고 분명히 밝히고 있다.[31] 그러나 전략에 명시된 협력 노력에 참여하는 기업은 발견된 보안 솔루션을 채택할 필요가 없다.

미국에서는 중요 인프라 보호를 위한 자발적인 기준을 만들었을 2012년 사이버보안법이 상원을 통과하지 못하자 미 의회가 정보를 보다 투명하게 만들려고 노력하고 있다.[10] 2013년 2월 백악관은 '중요 인프라 사이버 보안 개선'이라는 제목의 행정명령을 발동해 행정처가 더 많은 기업 및 개인과 위협에 대한 정보를 공유할 수 있도록 했다.[10][11] 2013년 4월 하원은 침해 정보를 공개하는 기업을 겨냥한 소송으로부터 보호하는 내용을 골자로 하는 사이버정보공유보호법(CISPA)을 통과시켰다.[10] 오바마 행정부는 이 법안에 거부권을 행사할 수도 있다고 말했다.[10]

인도

2015년 인도우주국(Indian Space Agency)의 상용화 기관 웹사이트 해킹 사건을 계기로 인도 대법원의 사이버법률 전문가이자 옹호자인 앤트릭스와 정부의 디지털인디아 프로그램은 "인도의 핵심 요구사항으로 사이버 보안 관련 법률을 전담했다"고 밝혔다. 단순히 사이버 보안을 IT법의 일부로 두는 것만으로는 충분하지 않다. 사이버 보안은 분야적 관점뿐만 아니라 국가적 관점에서도 봐야 한다고 말했다.[12]

유럽 연합

사이버 보안 표준은 오늘날의 기술 주도 사업에서 크게 부각되어 왔다. 기업은 이윤을 극대화하기 위해 대부분의 사업을 인터넷으로 운영함으로써 기술을 활용한다. 인터넷 작업 운영을 수반하는 위험의 수가 많기 때문에, 그러한 운영은 포괄적이고 광범위한 규제에 의해 보호되어야 한다. 기존의 사이버 보안 규제는 모두 사업 운영의 다른 측면을 다루고 있으며, 종종 사업이 운영되는 지역이나 국가에 따라 다르다. 한 나라의 사회, 인프라, 가치관의 차이 때문에, 하나의 중요한 사이버 보안 표준은 위험을 줄이는 데 최적이 아니다. 미국 표준이 영업의 근거를 제공하는 반면 유럽연합은 EU 내에서 구체적으로 영업하는 기업에 대해 보다 맞춤화된 규제를 만들었다. 또한 브렉시트에 비추어 볼 때, 영국이 그러한 보안 규정을 어떻게 준수하기로 선택했는지를 고려하는 것이 중요하다.

EU 내 3대 규제는 ENISA, NIS 훈령, EU GDPR 등이다. 그것들은 디지털 단일 시장 전략의 일부분이다.

에니사

ENISA(European Union Agency for Cybersecurity, ENISA)는 원래 유럽 의회의 규정(EC) No 460/2004와 2004년 3월 10일 정보 시큐러티(NIS)가 EU의 모든 인터넷 작업 운영을 위해 설치한 관리 기관이다. ENISA는 현재 규정(EU)에 따라 운영되고 있다. 2013년 원규정을 대체한 No 526/2013.[13] ENISA는 다양한 서비스를 제공하기 위해 EU의 모든 회원국들과 적극적으로 협력한다. 운영의 초점은 다음과 같은 세 가지 요소에 있다.

  • 보안 침해에 대한 조치 과정에 대한 회원국에 대한 권고 사항
  • EU의 모든 회원국에 대한 정책 수립 및 이행 지원
  • ENISA가 EU의[14] 운영 팀과 직접 협력할 수 있도록 직접 지원

ENISA는 전무이사와 상설 이해당사자 그룹의 지원에 의존하는 경영 이사회로 구성된다. 그러나 대부분의 운영은 여러 부서의 장이 맡는다.[15]

ENISA는 사이버 보안에 관한 모든 주요 이슈를 다루는 다양한 출판물을 발표했다. ENISA의 과거와 현재 이니셔티브에는 EU 클라우드 전략, 정보 통신 기술의 개방형 표준, EU의 사이버 보안 전략, 사이버 보안 조정 그룹 등이 포함된다. ENISA는 또한 ISOITU와 같은 기존의 국제 표준 기구들과 협력한다.[16]

NIS 지시문

2016년 7월 6일, 유럽의회는 네트워크와 정보 시스템의 보안에 관한 지침(NIS 지침)을 정책화했다.[17]

이 지시는 2016년 8월에 발효되었고, 유럽연합의 모든 회원국들은 21개월 동안 지령된 규정을 그들 자신의 국가 법률에 통합하도록 주어졌다.[18] NIS 지령의 목적은 EU에서 전반적으로 높은 수준의 사이버 보안을 만드는 것이다. 이 지침은 디지털 서비스 제공자(DSP)와 필수 서비스 운영자(OES)에 상당한 영향을 미친다. 필수 서비스 운영자는 중요한 사회적 또는 경제적 활동을 할 경우 보안 침해 시 운영에 큰 영향을 미치는 조직을 포함한다. DSP와 OES 모두 주요 보안 사고를 컴퓨터 보안 사고 대응 팀(CSIRT)에 보고할 책임이 있다.[19] DSP는 필수 서비스 운영자만큼 엄격한 규제를 받지 않지만, EU에 설치되지 않고 여전히 EU에서 운영되는 DSP는 여전히 규제를 받고 있다. DSP와 OES가 자사의 정보시스템 유지관리를 제3자에게 아웃소싱하더라도, NIS 지시는 보안사고에 대한 책임을 여전히 지도록 하고 있다.[20]

EU 회원국들은 국가유자격기관(NCA)과 단일접촉점(SPOC) 외에 CSIRT가 포함된 NIS 지시전략을 수립해야 한다. 그러한 자원은 영향을 최소화하는 방식으로 사이버 보안 침해에 대처해야 할 책임이 부여된다. 또한, EU의 모든 회원국은 사이버 보안 정보를 공유하도록 권장된다.[21]

보안 요건은 사이버 보안 침해의 위험을 예방적 방법으로 관리하는 기술적 조치를 포함한다. DSP와 OES 모두 자신의 정보 시스템과 보안 정책을 심층적으로 평가할 수 있는 정보를 제공해야 한다.[22] 중요한 사이버 보안 사고는 모두 CSIRT에 통보해야 한다. 중요한 사이버 보안 사고는 보안 침해의 영향을 받는 사용자 수와 사건의 지속 기간 및 지리적 범위에 따라 결정된다.[22] 국정원 2기가 만들어지고 있다.[23]

EU 사이버보안법

EU사이버보안법은 디지털 제품, 서비스 및 프로세스에 대한 EU 차원의 사이버보안 인증 프레임워크를 확립한다. 국정원 훈령을 보완한 것이다. ENISA는 유럽 사이버보안 인증 프레임워크의 설정 및 유지에 핵심적인 역할을 담당하게 된다.[24]

EU GDPR

주요 기사: 일반 데이터 보호 규정

EU 일반 데이터 보호 규정(GDPR)은 2016년 4월 14일 제정됐지만 현재 시행일은 2018년 5월 25일로 정해졌다.[25] GDPR은 EU의 모든 회원국들 사이에서 데이터 보호를 위한 단일 표준을 도입하는 것을 목표로 하고 있다. EU 내에서 활동하거나 EU 거주자의 데이터를 처리하는 기업에도 적용된다.데이터가 처리되는 장소와 관계없이 EU 시민의 데이터가 처리되고 있다면 기업은 이제 GDPR의 대상이 된다.[26]

벌금은 또한 GDPR 하에서 훨씬 더 엄격하며 연간 총 매출액의 4%인 2천만 유로를 어느 쪽이든 더 높은 금액으로 산출할 수 있다.[26] 또한 이전 규정과 마찬가지로 EU에 거주하는 개인의 권리와 자유에 영향을 미치는 모든 데이터 침해는 72시간 이내에 공개되어야 한다.

총괄기구인 EU 데이터 보호 위원회, EDP는 GDPR이 설정한 모든 감독을 담당하고 있다.

동의는 GDPR에서 중요한 역할을 한다. EU 시민들과 관련된 데이터를 보유하고 있는 회사들은 그들이 데이터 공유에 동의했을 때처럼 쉽게 데이터를 공유할 수 있는 권리를 그들에게 제공해야 한다.[27]

또 시민들도 자신에게 저장된 데이터의 처리를 제한할 수 있고, 기업이 데이터를 저장하되 처리할 수 없도록 선택할 수 있어 명확한 차별성을 만들어낸다. GDPR은 기존 규정과 달리 시민의 사전 동의 없이 EU 외부 또는 제3자에게 시민 데이터를 전송하는 것도 제한하고 있다.[27]

제안된 전자 개인 정보 보호 규정도 2018년 5월 25일부터 적용될 예정이다.

반응

전문가들은 사이버 보안 개선이 필요하다는 데는 동의하지만, 그 해법이 정부 규제 강화인지, 민간 부문 혁신 확대인지에 대해서는 의견이 분분하다.

지원

많은 정부 관계자들과 사이버보안 전문가들은 민간부문이 사이버보안 문제를 해결하지 못해 규제가 필요하다고 보고 있다. Richard Clarke는 "산업은 당신이 규제를 위협할 때만 반응한다. 산업계가 [위협에] 대응하지 않으면, 당신은 끝까지 따라야 한다."[32] 그는 소프트웨어 회사들이 더 안전한 프로그램을 생산하도록 강요되어야 한다고 믿는다.[33] 브루스 슈나이어는 또한 경제적인 인센티브를 통해 소프트웨어 회사들이 더 안전한 코드를 쓰도록 장려하는 규제를 지지한다.[34] 릭 바우처(D-VA) 미국 대표는 소프트웨어 회사가 코드의 보안 결함에 대해 책임을 지게 함으로써 사이버 보안을 개선할 것을 제안한다.[35] 게다가 소프트웨어 보안의 향상과 더불어, 전력회사나 ISP와 같은 특정 산업은 규제가 필요하다고 클라크는 믿고 있다.[36]

반대

반면에, 많은 민간 부문 임원들과 로비스트들은 더 많은 규제가 사이버 보안을 향상시키는 그들의 능력을 제한할 것이라고 믿는다. 로비스트해리스 밀러 미국정보기술협회장은 규제가 혁신을 억제한다고 본다.[37] 전직 기업 변호사인 릭 화이트 로비 그룹 테크넷의 사장 겸 CEO도 규제 강화에 반대하고 있다. 그는 "민간부문은 사이버 공간에서 새로운 공격방법에 대응해 지속적으로 혁신하고 적응할 수 있어야 하며, 이를 위해 부시 대통령과 의회가 규제제재를 행사한 것을 칭찬한다"[38]고 말한다.

많은 민간 부문 임원들이 규제를 반대하는 또 다른 이유는 규제가 비용이 많이 들고 민간 기업에 대한 정부의 감독을 수반하기 때문이다. 기업들은 사이버 보안 문제를 효율적으로 해결하기 위한 유연성을 제한하는 규제만큼 규제를 통한 이익 감소에 대해서도 우려하고 있다.

참고 항목

메모들

  1. ^ "ChoicePoint 사건 이후 보고된 데이터 침해 연대기."(2005) 2005년 10월 13일 회수.
  2. ^ "전자 프라이버시 정보 센터 요금 트랙: 제109대 국회에서 사생활과 언론, 시민의 자유를 추적하는 것."(2005년). 2005년 10월 23일 회수.
  3. ^ "컴퓨터 바이러스의 작동 방식" (2005) 2005년 10월 10일 회수.
  4. ^ "사이버스페이스 보안을 위한 국가전략" (2003) 2005년 12월 14일 회수.
  5. ^ "보안 침해 통보 민법 1798.29절 1798.82 1798.84." 2003). 2005년 10월 23일 회수.
  6. ^ "리처드 클라크 인터뷰" (2003) 2005년 12월 4일 회수.
  7. ^ 고든, L. A. 롭, M. P., 루시신, W. & 리처드슨, R. (2005) "2005 CSI/FBI 컴퓨터 범죄보안 조사" 2005년 10월 10일 회수.
  8. ^ 헤이만, B. J. (2003) 사이버 보안 규정이 여기에 있다. 2005년 10월 17일 RSA 보안 회의, 워싱턴 D.C. 회수
  9. ^ 커비, C. (2003, 12월 4일) "포럼은 사이버 보안에 초점을 맞추고 있다." 샌프란시스코 크로니클.
  10. ^ 레모스, R. (2003). "부시는 최종 사이버 보안 계획을 공개한다." 2005년 12월 4일 회수.
  11. ^ Menn, J. (2002년 1월 14일, 2002년 1월 14일) "마이크로소프트는 보안상의 결함이 함정에 빠질있다." 로스엔젤레스 타임즈,
  12. ^ 라스무센, M, & 브라운, A. (2004) "캘리포니아법, 정보보안에 대한 주의의무 확립" 2005년 10월 31일 회수.
  13. ^ Schmitt, E, Charron, C, Anderson, E, & Joseph, J. (2004) "제안된 데이터 법률이 마케터들에게 어떤 의미인가." 2005년 10월 31일 회수.
  14. ^ 제니퍼 리조 (2012년 8월 2일) "사이버 보안 법안은 상원에서 실패" 2012년 8월 29일에 접속.
  15. ^ Paul Rosenzweig. (2012년 7월 23일) "사이버 보안법: 개정 사이버 법안은 여전히 문제가 있다." 헤리티지 재단. 2012년 8월 20일에 접속.
  16. ^ 에드 오키프 & 엘렌 나카시마. (2012년 8월 2일) "사이버 보안 법안은 상원에서 실패한다. 워싱턴 포스트. 2012년 8월 20일에 접속.
  17. ^ 알렉스 피츠패트릭. (2012년 7월 20일) "오바마, 새로운 사이버 보안 법안에 엄지손가락을 치켜세우다."매시블 2012년 8월 29일에 접속.
  18. ^ 브렌던 사소. (2012년 8월 4일) "오바마는 상원 사이버보안법 패소 행정명령 옵션의 무게를 잰다." 더 힐 2012년 8월 20일에 접속.
  19. ^ 자이쿠마르 비자얀. (2012년 8월 16일) "사이버 보안 법안을 둘러싼 당파 싸움은 금물"이라고 공화당 상원의원은 말한다. 컴퓨터월드. 2012년 8월 29일에 접속.
  20. ^ 칼 프란젠. (2012년 8월 2일) "사이버 보안 법안이 상원에서 실패함에 따라, 프라이버시 옹호자들은 기뻐한다." 2012년 8월 29일 TPM.
  21. ^알렉스 피츠패트릭. (2012년 8월 2일) "사이버 보안 법안 상원에서 노점" 으깬다. 2012년 8월 29일에 접속.
  22. ^ 조디 웨스트비 (2012년 8월 13일) "의회는 사이버 법률에 관한 학교로 돌아갈 필요가 있다." 포브스 2012년 8월 20일에 접속.

참조

  1. ^ a b "Cyber: Think risk, not IT" (PDF). pwc.com. PwC Financial Services Regulatory Practice, April, 2015.
  2. ^ "DOD-Strategy-for-Operating-in-Cyberspace" (PDF).
  3. ^ Schooner, Steven L.; Berteau, David J. (2012-03-01). Emerging Policy and Practice Issues (2011). Rochester, NY: Social Science Research Network. SSRN 2014385.
  4. ^ a b Schooner, Steven; Berteau, David (2014-01-01). "Emerging Policy and Practice Issues". GW Law Faculty Publications & Other Works.
  5. ^ "Do Agencies Already Have the Authority to Issue Critical Infrastructure Protection Regulations?". Retrieved 27 December 2016.
  6. ^ a b "Securely Protect Yourself Against Cyber Trespass Act (2005; 109th Congress H.R. 29) – GovTrack.us". GovTrack.us.
  7. ^ "Executive Order – Improving Critical Infrastructure Cybersecurity". whitehouse.gov. 12 February 2013 – via National Archives.
  8. ^ "SECURING CYBERSPACE – President Obama Announces New Cybersecurity Legislative Proposal and Other Cybersecurity Efforts". whitehouse.gov. 2015-01-13. Retrieved 2017-08-06 – via National Archives.
  9. ^ "FACT SHEET: Cybersecurity National Action Plan". whitehouse.gov. 2016-02-09. Retrieved 2017-08-06 – via National Archives.
  10. ^ a b c d "Secrecy hampers battle for web". Financial Times. 7 June 2013. Retrieved 12 June 2013.
  11. ^ "Executive Order – Improving Critical Infrastructure Cybersecurity". The White House. Office of the Press Secretary. 12 February 2013. Retrieved 12 June 2013.
  12. ^ "Dedicated legislation for Cyber Security is needed: Pavan Duggal – Express Computer". Express Computer. 31 August 2015.
  13. ^ "L_2013165EN.01004101.xml". eur-lex.europa.eu. Retrieved 2017-03-08.
  14. ^ "About ENISA — ENISA". www.enisa.europa.eu. Retrieved 2017-03-08.
  15. ^ "Structure and Organisation — ENISA". www.enisa.europa.eu. Retrieved 2017-03-08.
  16. ^ Purser, Steve (2014). "Standards for Cyber Security". In Hathaway, Melissa E. (ed.). Best Practices in Computer Network Defense: Incident Detection and Response. Nato Science for Peace and Security Series - D: Information and Communication Security. Vol. 35. IOS Press. doi:10.3233/978-1-61499-372-8-97. ISBN 978-1-61499-372-8.
  17. ^ "Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union". EUR Lex. 19 July 2016. Retrieved 2018-04-26.
  18. ^ "The Directive on security of network and information systems (NIS Directive)". Digital Single Market. Retrieved 2017-03-12.
  19. ^ "The Network and Information Security Directive – who is in and who is out?". 7 January 2016. Retrieved 2017-03-12.
  20. ^ "NIS Directive Published: EU Member States Have Just Under Two Years to Implement – Data Protection Report". Data Protection Report. 2016-07-21. Retrieved 2017-03-12.
  21. ^ "Agreement reached on EU Network and Information Security (NIS) Directive Deloitte Luxembourg Technology Insight". Deloitte Luxembourg. Retrieved 2017-03-12.
  22. ^ a b "Network and Information Security Directive will be implemented in the UK despite Brexit vote, government confirms". www.out-law.com. Retrieved 2017-03-12.
  23. ^ "the NIS 2 directive". digitaleurope.org. Retrieved 2021-09-29.
  24. ^ "The EU Cybersecurity Act". Retrieved 2019-12-06.
  25. ^ "Home Page of EU GDPR". EU GDPR Portal. Retrieved 2017-03-12.
  26. ^ a b "Key Changes with the General Data Protection Regulation". EU GDPR Portal. Retrieved 2017-03-12.
  27. ^ a b "Overview of the General Data Protection Regulation (GDPR)". ico.org.uk. 2017-03-03. Retrieved 2017-03-12.