To prywatność a cyberbezpieczeństwo, bo w Senacie pojawia się rachunek CISPA

Aktualizacja: W czwartek, US News donosi, że CISPA "prawie na pewno zostanie odłożone na półkę", powołując się na komentarze zgłoszone przez nienazwanego przedstawiciela Senackiej Komisji ds. Handlu, Nauki i Transportu. US News cytuje również Michelle Richardson, radcę prawnego z ACLU, który powiedział: "Myślę, że na razie jest martwa, CISPA jest zbyt kontrowersyjna, jest zbyt ekspansywna, to po prostu nie jest to ten sam program rozważany przez Senat w zeszłym roku". Richardson szacuje, że przyjęcie nowych przepisów może potrwać kilka miesięcy.

Cyberbezpieczeństwo i prywatność w Internecie to dwa kluczowe interesy, którym wydaje się, że nigdy nie będzie się dogadać. Oczywiście, chcesz, aby złośliwi hakerzy, spamerzy i inne nędzy internetowe zostały postawione przed wymiarem sprawiedliwości, ale chcesz także chronić swoje dane online.

Jednak duża część walki z cyberprzestępczością wymaga zebrania danych zebranych w stogu siana i szukając nieuchwytnej igły podejrzanej aktywności. Twoje dane online mogą zostać przeniesione na jeden z tych stosów i zeskanowane. To, co dzieje się z nim po drodze, to domysły.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows] Pierwszym krokiem do zrozumienia działania cyberbezpieczeństwa jest zaakceptowanie, że twoje dane online zostaną zeskanowane - i już jest. zeskanowane.

Dlatego chcesz śledzić ustawę o cyberprzestępczości i ochronie (CISPA), która minęła w Izbie Reprezentantów Stanów Zjednoczonych w zeszłym tygodniu i jest obecnie rozpatrywana przez Senat, gdzie obecnie jest w komisji. CISPA ma na celu rozluźnienie ograniczeń, które obecnie rządzą dzieleniem się danymi wśród badaczy cyberbezpieczeństwa. Może to brzmieć wystarczająco rozsądnie, ale powstaje kontrowersja związana z tym, jak dane są przetwarzane - konkretnie, w jaki sposób są one udostępniane oraz w jaki sposób dane osobowe (PII) są zminimalizowane.

Ponadto ustawa ta zapewnia wysoki poziom odporności od procesów sądowych dla rządu i firm prywatnych, które udostępniają dane. Nie jest to szczególnie wygodne, gdy udostępniają dane.

Kiedy, nie, jeśli twoje dane są zeskanowane i udostępnione

Pierwszym krokiem w zrozumieniu działania cyberbezpieczeństwa jest zaakceptowanie, że twoje dane online są już skanowane. Rząd, organy ścigania i firmy prywatne szukają podejrzanie wyglądającej aktywności w Internecie. Spamerzy, botnety i złośliwe włamania do serwisów takich jak Twitter należą do jednej szerokiej kategorii cyberprzestępczości. Jeszcze większe obawy wzbudzają próby atakowania "infrastruktury krytycznej" (takiej jak sieci energetyczne i wodne oraz sieci komunikacyjne) lub cywilów.

CISPA umożliwi prywatnym firmom udostępnianie danych uważanych za "informacje o zagrożeniach cybernetycznych."

CISPA pozwoli prywatnym firmom udostępniać dane organom ścigania i agencjom rządowym, jeśli dane będą się określać jako "informacje o zagrożeniach cybernetycznych", które mogą pomóc w rozwiązaniu problemu. Nieokreśloność tego terminu jest dużą częścią problemu prywatności, twierdzi Jeramie Scott, pracownik działu bezpieczeństwa w Electronic Privacy Information Center. "Używa w swojej definicji określeń takich, jak" podatność na zagrożenia w sieci "i" zagrożenie integralności sieci ", które należy interpretować w sektorze prywatnym - mówi Scott.

Definicje obejmujące dane są dość niejasne, aby zapraszać do dzielenia się

Niejasność CISPA daje prywatnym firmom dużo miejsca do przeskalowania informacji. "Załóżmy, że serwis społecznościowy cierpi na atak typu" odmowa usługi "- mówi Scott. "Strona mogłaby po prostu zaoferować rządowi bardziej odpowiednie informacje diagnostyczne, ale mogłaby również dostarczyć danych osobowych na temat wszystkich profilów, na które ma wpływ - w tym na przykład, z kim jesteś połączony, i szczegółów profilu - o ile sieć społecznościowa uznawana za część informacyjną "informacji o zagrożeniach cybernetycznych".

Zgodnie z radą prawodawczą Michelle Richardson z American Civil Liberties Union, każdy głupi spam, który otrzymasz z Nigerii, może uczynić twoje dane uczciwą grą do dalszego dochodzenia. "Są to codzienne zdarzenia związane z cyberbezpieczeństwem w ramach projektu" - mówi Richardson. Rainey Reitman, dyrektor ds. Aktywizmu w Electronic Frontier Foundation, twierdzi, że usługa może udostępniać dowolne dane, które uważała za "informacje o zagrożeniu cybernetycznym", i może to robić "bez procesu prawnego, o ile jest" w dobrej wierze "i" w dobrej wierze ". cel cyberbezpieczeństwa. "

Udostępnianie danych będzie łatwiejsze - lub automatyczne

Richardson ACLU dodaje, że w ramach CISPA udostępnianie danych będzie płynne - naprawdę płynne. Zamiast przechodzić proces, w którym rząd konkretnie żąda informacji, "mówią o jakimś procesie, który automatycznie przekaże sprawy rządowi", mówi Richardson.

Jeśli dane będą kierowane automatycznie, kiedy i jak dane osobowe są usuwane z danych stają się poważniejszym problemem. Niestety, nikt nie mówi o tym, aby tożsamość użytkownika była całkowicie anonimowa. Nie, osoby odpowiedzialne za CISPA są usatysfakcjonowane zwykłą "minimalizacją" - podejmowaniem rozsądnych starań w celu usunięcia PII. W tym miejscu ponownie pojawia się definicja "informacji o zagrożeniach cybernetycznych", mówi Scott Scott: "CISPA nie wymaga, aby [firma prywatna] usuwała lub w inny sposób zawężała informacje dostarczane rządowi, pod warunkiem, że podlega on szerokiej definicji. informacji o zagrożeniach cybernetycznych. "

Eksperci ds. bezpieczeństwa szukają trendów, rozpowszechnienia pewnych zachowań i wzorców propagacji złośliwego oprogramowania - a nie informacji osobistych. -David LeDuc, SIIA Chociaż wydaje się, że firma dostarczająca ma obowiązek usuwania informacji osobistych z danych, które udostępniają, w ramach CISPA zadanie to należy do rządu. David LeDuc jest starszym dyrektorem ds. Polityki publicznej stowarzyszenia Software & Information Industry Association, ważnej grupy handlowej reprezentującej twórców oprogramowania i firmy zajmujące się treściami cyfrowymi, która wspiera CISPA. LeDuc pomija znaczenie IIO w cyberbezpieczeństwie, mówiąc, że to nie jest to, co interesuje profesjonalistów zaangażowanych w zwalczanie cyberprzestępczości. "Eksperci ds. Bezpieczeństwa szukają trendów", mówi, "rozpowszechnienia pewnych zachowań i wzorców propagacji dla szkodliwego oprogramowania - a nie informacji osobistych."

LeDuc zwraca również uwagę, że CISPA została zmieniona z polegającej na tym, to obowiązkowe. "Rząd federalny musi zminimalizować otrzymywane od sektora prywatnego informacje, aby uzyskać informacje o konkretnych osobach, które nie są niezbędne do reagowania na cybernetyczne zagrożenie."

Jednak niniejsza poprawka nie odnosi się do tego, co dzieje się z dane dzielone między firmami prywatnymi. Ponieważ tylko rząd ma zadanie minimalizowania prywatnych informacji osobistych w ramach CISPA, prywatne firmy mogą dzielić się między sobą danymi bogatymi w dane osobowe, nie podejmując żadnych wysiłków zmierzających do minimalizacji. Przemawiając przed głosowaniem Izby w sprawie CISPA, przedstawiciel Adam Schiff (D-California) wyraźnie wyraził swoją dezaprobatę. "Podmioty prywatne mogą dzielić się informacjami bez konieczności przechodzenia przez rząd" - powiedział. "W tych okolicznościach, w jaki sposób rząd może zminimalizować to, czego nigdy nie posiada? Zatem samo minimalizowanie przez rząd, które obejmuje cały ten projekt, nie jest wystarczające. "

Kongresmen Schiff wprowadził poprawkę mającą na celu rozwiązanie tej luki, ale skarży się, że sponsorzy CISPA nigdy nie przedstawili jej przed Izbą do głosowania.

Co firmy prywatne dbają o: procesy sądowe

Pod tymi wszystkimi rozmowami o dzieleniu się i minimalizowaniu tego, o czym tak naprawdę wygląda CISPA, chronią firmy, które dostarczają dane przed pozwami za to. Na pytanie, co było najważniejsze dla konsumentów, aby wiedzieć o CISPA, LeDuc SIIA powiedział, że ryzyko odpowiedzialności udaremniły wysiłki cyberbezpieczeństwa. "Niestety, w obecnych ramach prawnych firmy lub inne podmioty prywatne są narażone na ryzyko prawne lub prawne związane z udostępnianiem informacji, które według nich mogą być cenne dla zapobiegania zagrożeniom lub incydentowi związanemu z cyberbezpieczeństwem", mówi.

Większość z nas nie będzie miała pojęcia, czy nasze dane są wykorzystywane czy niewłaściwie używane, chyba że wróci, by nas ugryźć.

Perspektywa sporów jest nieco osobliwa. W końcu, dzięki tym ogromnym wysiłkom w zakresie skanowania danych, większość z nas nie będzie miała pojęcia, czy nasze dane są wykorzystywane czy niewłaściwie używane, chyba że wróci, by nas ugryźć. Gdyby tak się stało, dobrze byłoby mieć proces odwoławczy. Również tutaj niejasny język CISPA utrudnia ochronę prywatności. Richardson z ACLU mówi: "To nie tylko to, co możesz udostępnić, ale wszystkie decyzje podejmowane na podstawie udostępnianych informacji są również immunizowane. W rzeczywistości używają tego terminu, "podjętych decyzji", które jest niewiarygodnie szerokie. "

" Dobra wiara "obejmuje wiele szkód o dobrej intencji

Ale LeDuc twierdzi, że jest proces. "Indywidualni obywatele nie tracą możliwości pozywania lub wykorzystywania sądów do zadośćuczynienia" - mówi. "W każdym przypadku, w którym stwierdzono, że firma nie działa w dobrej wierze, najprawdopodobniej ponosiliby odpowiedzialność za szkodę poniesioną przez daną osobę".

Reitman z EFF twierdzi, że pokrycie "dobrej wiary" może łatwo daleko. Chronione przed odpowiedzialnością, firmy mogą udostępniać więcej danych w bardziej swobodny sposób. Na przykład, mówi Reitman, "Netflix mógł przekazać rządowi listę nazwisk, numerów kart kredytowych, adresów domowych i aktywności na koncie dla wszystkich, którzy obejrzeli film Hakerzy w ciągu trzech tygodni poprzedzających serwis Netflix. cierpiący na łagodny atak DDOS. "CISPA obecnie zapewnia cywilny nadzór nad udostępnianiem danych za pośrednictwem Departamentu Bezpieczeństwa Wewnętrznego i innych podmiotów, ale jeśli dane zostaną przekazane do jednostki wojskowej, nadzór kończy się.

" Nigdy byśmy tego nie zrobili wiesz, co zrobili z tymi danymi ", mówi Reitman. "Nie sądzimy, że byłoby to w dobrej wierze, ale byłoby to trudne dla klientów do odkrycia, a później udowodnić."

CISPA może nie dotrzeć daleko

To jest druga próba CISPA, aby wygrać zatwierdzenie Senatu, i jego sukces jest daleki od pewności - zwłaszcza biorąc pod uwagę jasno wyrażoną przez prezydenta intencję zawetowania CISPA w jej obecnej formie. Chociaż żaden akt prawny nie jest doskonały, przeciwnicy wskazują na niejasność i luki w CISPA jako ograniczniki gier. Richardson z ACLU mówi: "Ludzie mówią o włamaniu do Chin i kradzieży własności intelektualnej. Gdyby napisali o tym rachunek, mielibyśmy mniej skarg. CISPA ma szeroki zasięg i wiele codziennych czynności. "

CISPA pokazuje skomplikowaną wojnę między prywatnością a cyberbezpieczeństwem w Internecie.

Senatorowie przygotowują również alternatywne przepisy dotyczące bezpieczeństwa cybernetycznego - choć to nie działało w zeszłym roku, albo. Senator John D. (Jay) Rockefeller (D-West Virginia) sponsoruje Ustawę o Cyberbezpieczeństwie i Amerykańskiej Cyberprzestrzenności z 2013 r. (Podobnie jak to zrobił w 2012 r., Który utknął w martwym punkcie). W komunikacie prasowym opublikowanym po głosowaniu Izby w sprawie CISPA senator Rockefeller powiedział: "Dzisiejsze działania w Izbie są ważne, nawet jeśli ochrona prywatności CISPA jest niewystarczająca. Potrzebujemy działania na wszystkich elementach, które wzmocnią naszą cyberbezpieczeństwo, nie tylko jednego, i tego właśnie osiągnie Senat. "Osiągnięty w tym tygodniu Senator Dianne Feinstein (D-California), współsponsor tego samego projektu, powiedział, "Obecnie tworzymy dwustronny raport dotyczący dzielenia się informacjami i będziemy działać, jak tylko dojdziemy do porozumienia."

Ustawa w obecnym stanie pokazuje skomplikowaną rywalizację pomiędzy prywatnością a cyberbezpieczeństwem. Richardson z ACLU uważa, że ​​CISPA zainspiruje Senat do znalezienia lepszego rozwiązania. "Wszyscy inni w tej grze patrzą na coś bardziej ukierunkowanego, strategicznego i chronionego przez prywatność." Niedoskonała odpowiedź jest gdzieś tam, mam nadzieję, z taką samą ochroną dla małego faceta, jak wydaje się, że dla dużych danych.