这个主题已经讨论很久:在欧洲,并没有任何时间限制强制provider必须在何时报告攻击,这引发了许多客户的不满。

但要确定向司法机关说明已发生违规的正确期限并不简单:在美国,人们比我们更早面对这个问题,但每个州都有自己的规则。结果是法规差异很大:在某些州,只需“早晚”通知已发生攻击即可;另一些州则有约45天的期限。

因此,欧盟二十八个国家决定强力处理这个问题,为信息服务公司设定非常紧的deadline:从违规到向机关报告,不得超过一天。

Provider对批评其通知速度慢的回应也很快:他们说,在过短时间内操作是不可能的,付出代价的正是消费者。

原因在于很难快速识别网络攻击,并确定谁确实成为受害者。施加如此严格、仅二十四小时的限制,可能让真正理解威胁类型变得不可能,并不可避免地产生一系列误报。随后也无法提供准确完整的报告。

Perkins Coie合伙人Todd Hinnen在接受SCMagazine采访时表示,他支持为通知设定最长时间限制,但前提是不妨碍充分调查工作。他认为,通知的正确时间可能不同,“但无论如何不应超过72小时”。

想知道您的网站暴露到什么程度吗?

EasyAudit WEB为中小企业检查网站、门户和电子商务,提供专业外部审计。

了解EasyAudit WEB