观点2：除非不得已，不要披露数据漏洞

　　Lieberman软件公司总裁兼CEO菲利普·利伯曼(Philip Lieberman)提出了上述观点。他说，如果一个企业要采取符合股东利益的行动，共享安全突破的细节没有任何好处，除非法律要求披露这些信息或者披露这些信息会减少客户、合作伙伴或者其他人的金融损失。至于披露安全突破的受托人责任，这仍然是法律的一个灰色区域。

　　如果披露安全突破信息将导致降低企业声誉或者引起罚款以及管理机构和行业组织的制裁，披露你的数据突破事件的细节会损害股东的价值。如果披露数据突破信息引起对该公司企业治理的疑问，这样的披露信息会阻止企业使用私有部门或者公共部门的资本。这种披露信息也许还会引起不重要的以及有充分根据的法律诉讼。

　　最近的重要新闻证明，任何机构都可能成为受害者，无论这些机构是否事先曾投资安全。由于目前许多引人瞩目的攻击的动机似乎都是政治、贪婪和自私等因素，披露这些信息可能引起更多的攻击。

　　向企业提供一个明确的报告安全突破的指南是美国政府的事情。这种报告的目的应该是向执法部门提供情报，帮助逮捕入侵者和起诉这种犯罪。另一个目的是适当地承担安全突破的责任，不进一步危害企业及其客户。

　　检察官似乎错误地认为保护隐私数据是企业的权利范围内的事情。实际上，目前的企业都期待着采用一个能够抵御所有攻击者入侵的防御措施。但是，没有一种措施证明能够击败一切入侵者。

　　解决方案

　　联邦政府曾提出一些规则。根据这些规则，如果企业通知执法部门有关安全突破事件并且帮助捕获和起诉入侵者，企业会免除起诉。

　　州和联邦政府还应该做更好的工作，发布具体的和操作的安全标准，帮助保护遵守法规的企业避免受到攻击。

　　共识审计指南(Consensus Audit Guidelines)等发展中的标准是一个开端。最近的美国证券交易委员会的指南是鼓舞人心的。然而，到目前为止，联邦和州政府几乎没有做任何事情来推广类似的标准。

　　对于企业来说，缺少可操作的、明确的网络安全标准意味着什么都不做和做一切可能做的事情在信息技术行业的司法裁决中都是一样的。

　　缺乏可操作的企业安全要求，以及没有一个披露数据突破并且配合调查的企业的安全港，就产生了这样一种环境。在这个环境中，除了法律要求的信息之外，披露任何多余的信息对于企业都是不利的。事实上，一位企业官员披露了超过法律最低要求的信息会被认为是忽略了机构对于股东的责任。

　　现在是联邦政府发布其指南的时候了。联邦政府应发布企业披露安全突破信息的指南，规定企业如何通过做正确的事情使自己免于起诉。

　　利伯曼说，我认为，起诉那些已经采取合理的措施保护自己的系统的公司(无论是公共的还是私营的行动)是非建设性的和伤脑筋的事情。但是，在模糊的指南仍在起作用的时候，要阻止检察官把事情搞乱是不可能的。

　　现在是联邦政府告诉那些不择手段的律师应该如何做的时候了。这些律师的抨击使一些企业破产。应该允许企业披露安全突破信息而不受到惩罚。然而，企业现在不应该共享安全突破信息。

　　Lieberman软件向全球用户提供有权限的身份管理和安全管理解决方案，其中包括40%的财富50强企业