FCC加强客户信息泄露通知规则

关键要点

• FCC计划简化客户信息泄露的报告流程，加快通知速度。
• 新规则要求电信公司在发生泄露后及时向FCC、FBI和美国特工局报告。
• 行业专家对新要求表示担忧，同时也认可快速报告具有的潜在好处。

美国联邦通信委员会（FCC）正在推动更严格的规定，以加速客户和执法部门的通知流程，强化在出现客户专有网络信息泄露时的报告要求。这项提案旨在消除目前要求在七个工作日内通知客户的强制等待期，即便是发生意外泄露，也需“在不造成不合理延迟的情况下通知客户和执法部门”。

FCC主席杰西卡·罗森沃塞尔（JessicaRosenworcel）在新闻稿中表示：“法律要求运营商保护敏感消费者信息，但鉴于数据泄露频率、复杂性和规模的增加，我们必须更新规则来更好地保护消费者，强化报告要求。”她强调此次新程序将对数据泄露报告规则进行重新审视，以更好地保障消费者的安全，并减少未来泄露的影响。

考虑到以符合2022年通过的《关键基础设施网络事件报告法案》（CIRCIA），此次规则调整并不令人意外。坦尼昂（Tanium）首席安全顾问蒂莫西·莫里斯指出，该法案要求关键基础设施组织在72小时内报告网络事件。他还提到，不同州和联邦机构对泄露报告的法律要求各不相同，像事件，FCC表示它正试图通过新规则来解决这一问题。

尽管FCC正在寻求行业对其提案的反馈，但有专家对新要求可能给安全和法律团队带来的挑战表示担忧。JupiterOne的首席信息安全官苏尼尔·于（SounilYu）发表意见称，FCC正在“模糊‘事件’和‘泄露’之间的界线”。

于氏指出，如果规则降低了被视为重大泄露的门槛，法律团队可能需要在每个事件中与首席信息安全官（CISO）一起参与，特别是在的背景下。

然而，一些专家认为，快速报告泄露事件可能带来的积极影响不容忽视。Viakoo的首席执行官巴德·布鲁姆赫德（BudBroomhead）表示，缩短报告时间使威胁行为者在数据泄露事件中悄无声息地行动的窗口变短。

“快速报告只是减少泄露损害的一个部分，尤其是对于电信行业而言，”布鲁姆赫德说，“同样或更高的优先级应给予自动漏洞修复、将零信任扩展到非IT资产（如物联网和运营技术），以及更全面的资产发现和威胁评估。”

如需了解更多信息，请参考以下链接： – –