加强数据安全规则的提案遭到上级组织的反对
最高的评论-的提议收紧数据安全规则- 可以使遵守更严格的学院。
联邦贸易委员会(FTC)提议对《保障规则》进行大范围修改,这是 《格拉姆-里奇-布莱利法案》(GLBA)规定的职责之一,并且 要求资金分配机构保护财务信息(例如姓名和社会安全号码) 。
GLBA已经要求大学保护这些数据,但是法规可能会迫使他们采取特定的,经过编纂的步骤来这样做。
FTC首次提出对“保障规则”的更改时,更高版本的利益相关者已敦促委员会确保大学目前在该规则下享有的灵活性和自主权不会被包罗万象的IT部门所取代。这些利益相关者包括全国大学和大学商务人员协会(NACUBO),美国教育和教育理事会,这是一个高等教育信息技术协会。
根据提议的更改,大学将有六个月的时间满足要求,例如扩展数据加密和访问控制以及实施多因素身份验证以访问学生数据。
高等教育的利益相关者说,该提案的一个问题是它将大学视为金融机构。这是因为,根据GLBA,获得Title IV资金的大学像金融机构一样会发放贷款和补助金。但是, Educause和NACUBO说,大学只是从狭义和技术上讲是这样的机构,而且与金融机构不同,它们各自不同。
NACUBO政府事务高级主管梅根·施耐德( Megan Schneider)对教育潜水说:“如果您认识一所学院或大学,您就会(只)知道一所学院或大学 。”
此外, Educause的高级政策顾问Jarret Cummings在接受Education Dive采访时表示,仅六个月就无法达到合规性。
他说:“与传统的资金分配机构不同,学院的网络和系统环境相当多样化。” 他补充说,尽管这些系统执行管理和运营功能,但它们是包括学术,研究,教学和学习在内的“更加多样化的IT环境”的一部分。
Educause还存在一个问题,就是它对规则在机构内的适用范围的定义过于宽泛。例如,它认为,诸如数据加密和对授权用户的连续监控之类的措施不能全部应用。
卡明斯说: “鉴于学术自由的目标,必须非常谨慎地应对这种广泛的变化,以使该机构的主要任务学者不受影响。”
他补充说,任何网络安全更改都应明确定义为与客户信息有关。在这种情况下,学生是该机构的客户,类似于金融机构的帐户持有人。
评论家说,要求一个人监视该机构的网络安全也是有问题的。根据Educause的说法,由于一所大学不是金融机构,因此要求它只有一个人来监控所有网络安全是不切实际的。网络安全专业人员的短缺,尤其是在农村地区,也将证明具有挑战性。
卡明斯说:“基于团队的方法更合适,该机构必须能够利用自身内部的多个网络安全领导者。”
一些观察家说,FTC的更改是有效的,因为随着记录越来越数字化,对数据安全的需求。
律师事务所CapinCrouse写道:“(首席财务官)和营业所指导资金的电子转帐。招生和财政援助人员收集数据。教务长维护数据。教职员工提交并访问数据。父母和学生提交数据。”在其网站上注意到,去年有关规则的变化。“每个人都应该关注数据安全性。”
NACUBO的Schneider认为,大学已经在按照自己的需求量身定制保护敏感数据的方法。她说:“如果有人意识到需要保护数据,这是大学,那么他们就会非常了解。”