Je to soukromí versus kybernetická bezpečnost, neboť CISPA účet přichází v Senátu

Aktualizace: Ve čtvrtek zveřejnila zpráva US News, že CISPA "bude téměř jistě vyřazena", cituje připomínky, které přednesl nejmenovaný zástupce Výboru pro obchod, vědu a dopravu v USA. Americká zpráva také citovala Michelle Richardsonová, legislativní poradkyně ACLU, která říkala: "Myslím, že je to zatím mrtvá. CISPA je příliš kontroverzní, je příliš rozsáhlá, není to takový program, jaký minulý rok plánoval Senátu." Richardson odhaduje, že pro přijetí nových právních předpisů může trvat několik měsíců.

Cybersecurity a ochrana soukromí online jsou dva kritické zájmy, které se zdát předurčeny nikdy nejít. Jistě, chcete, aby se nebezpečné hackeři, spamátoři a další internetoví internetové subjekty postavili před spravedlnost - ale také chcete chránit vaše data online.

Velká část bojů proti počítačové kriminalitě však vyžaduje shromažďování souhrnných dat online skenování za nepolapitelnou jehlu podezřelé činnosti. Vaše online údaje by mohly být zametány do jedné z těchto hromádek a naskenovány. Co se stane s tím po cestě, je někdo domnívat se.

[Další čtení: Jak odstranit malware z počítače se systémem Windows] Prvním krokem v pochopení, jak funguje kybernetická bezpečnost, je přijmout, že vaše data online budou skenovány -

To je důvod, proč budete chtít sledovat zákon o sdílení a ochraně informací o civilní službě (CISPA), který minulý týden schválila Sněmovnu reprezentantů USA a nyní ji zvažuje Senát, kde je ve výboru. CISPA má za cíl uvolnit omezení, která v současnosti řídí sdílení dat mezi vyšetřovateli počítačové bezpečnosti. To může znít natolik rozumně, ale vzniká spor o způsobu, jakým jsou data zpracovávána, konkrétně o tom, jak jsou sdíleny a jak jsou minimalizovány osobní identifikační údaje (PII).

Navíc účet vytváří vysokou úroveň imunity vůči soudním sporům pro vládní a soukromé společnosti, které sdílejí data. Není to naprosto uklidňující, když sdílíte data.

Pokud nejsou vaše data skenovány a sdíleny

Prvním krokem k pochopení toho, jak funguje počítačová bezpečnost, je přijetí, že vaše data online jsou již skenovány. Vláda, orgány činné v trestním řízení a soukromé společnosti hledají podezřelou internetovou aktivitu. Spamové programy, botnety a škodlivé hackery do stránek, jako je Twitter, spadají do jedné široké kategorie počítačové kriminality. (9)> CISPA by umožnila soukromým společnostem sdílet data považovaná za "informace o kybernetických hrozbách".

CISPA by umožnila soukromým společnostem sdílet údaje s úředníky činnými v trestním řízení a vládními agenturami, pokud se údaje kvalifikují jako to, co účet nazývá "informace o kybernetické hrozbě", které by mohly pomoci při řešení kriminality. Neurčitost tohoto pojmu je velkou součástí problému s ochranou soukromí, říká Jeramie Scottová, národní bezpečnostní agentka v Informačním centru pro ochranu osobních údajů elektronických komunikací. "Používá termíny jako" zranitelnost vůči síti "a" ohrožení integrity sítě "ve své definici, která je ponechána na soukromý sektor k interpretaci," říká Scott.

Definice týkající se dat jsou dostatečně neurčité, aby pozvali přehazování

Neurčitost společnosti CISPA dává soukromým společnostem spoustu místa, aby se vyhnuli informacím. "Řekněme, že sociální síť trpí útokem na odmítnutí služby," říká Scott. "Stránky by mohly nabídnout vládě pouze relevantnější diagnostické detaily, ale mohly také poskytnout osobní informace o všech ovlivněných profilech - včetně například toho, s kým jste s vámi spojeni a detailů profilu bio - tak dlouho, považována za informační část informačních informací o kybernetické hrozbě.

Podle legislativní rady Michelle Richardsonové ze svazu amerických občanských svobod, každý hloupý spam, který obdržíte od Nigérie, by mohl dát vašim datům spravedlivou hru pro další vyšetřování. "Jedná se o každodenní události, které jsou pod zákonem cybersecurity událostí," říká Richardson. Rainey Reitman, ředitel aktivismu v nadaci Electronic Frontier Foundation, říká, že služba by mohla sdílet veškerá data, která považovala za "informace o kybernetické hrozbě", a mohla by tak učinit "bez právního procesu, pokud byla v" dobré víře " "

Sdílení dat bude jednodušší nebo automatické

Richardson z ACLU dodává, že v rámci CISPA bude sdílení dat hladké - opravdu hladké. Namísto toho, aby procházel procesem, kdy vláda výslovně požaduje informace, "mluví o nějakém procesu, který automaticky přenáší věci vládě," říká Richardson.

Pokud budou data automaticky směrována, kdy a jak se PII zbaví dat, se stává větší problém. Naneštěstí nikdo nehovoří o tom, že se uživatelská totožnost zcela anonymní. Ne, lidé za CISPA jsou spokojeni s pouhou "minimalizací" - vynaložením přiměřené snahy o odstranění PII. Zde je definice "informací o kybernetickém ohrožení" opět spuštěna, říká Scott EPIC: "CISPA nevyžaduje [soukromou společnost], aby odstranila nebo jinak omezila informace poskytnuté vládě, pokud spadá pod široký deštník informace o hrozbě kybernetické situace. "

Bezpečnostní experti hledají trendy, výskyt určitých chování a modely šíření škodlivého softwaru - nikoliv osobní údaje. -David LeDuc, SIIA

I když by se zdálo smysluplné, aby poskytovatelská společnost vyňala PII z údajů, které sdílejí, a to i za vlády CISPA. David LeDuc je vedoucím ředitelem veřejného pořádku pro Asociaci průmyslu softwaru a informací, což je hlavní obchodní skupina zastupující vývojáře softwaru a podniky zabývající se digitálním obsahem, které podporuje společnost CISPA. LeDuc snižuje význam PII v kybernetické bezpečnosti a říká, že to není zájem profesionálů zabývajících se bojem proti počítačové kriminalitě. "Bezpečnostní experti hledají trendy," vysvětluje, "výskyt určitých chování a šíření malware - nikoli na osobní informace."

LeDuc také zdůrazňuje, že CISPA byla změněna tak, je povinné. "Federální vláda musí minimalizovat informace, které obdrží od soukromého sektoru, aby získala informace o konkrétních osobách, které nejsou nezbytné k reakci na kybernetickou hrozbu."

Tento pozměňovací návrh však neřeší otázku, co se děje sdílené soukromé společnosti. Protože pouze vláda má za úkol minimalizovat PII v rámci CISPA, mohou soukromé společnosti sdílet poměrná data bohatá na PII mezi sebou, aniž by se snažily minimalizovat. V rozhovoru před Houseem o hlasování o CISPA vyjádřil zástupce Adam Schiff (D-Kalifornie) svůj nesouhlas. "Soukromé subjekty si mohou navzájem sdělovat informace, aniž by někdy procházely vládou," řekl. "Za takových okolností, jak může vláda minimalizovat to, co nikdy nemá? Takže jen minimalizace vládní strany, což je celý tento návrh zákona, nestačí. "

Kongregátor Schiff představil pozměňovací návrh, který by se zabýval touto mezery, ale stěžuje si, že sponzoři CISPA ho nikdy nepředložili před hlasováním.

Na co se zajímají soukromé společnosti: soudní spory

Pod touto řečí o sdílení a minimalizaci, o čem CISPA skutečně vypadá, je ochrana firem, které poskytují údaje, aby byly žalovány za to. Na otázku, co je pro spotřebitele nejdůležitější vědět o CISPA, řekl LeDuc ze společnosti SIIA, že odpovědnost za rizika je zmařena úsilím v oblasti počítačové bezpečnosti. "Bohužel, v rámci současného právního rámce, společnosti nebo jakékoli soukromé subjekty čelí riziku regulačních nebo právních kroků pro sdílení informací, o kterých se domnívá, že mohou být cennými pro prevenci nebo zmírnění hrozby nebo incidentu kybernetické bezpečnosti," říká.

Většina z nás nebude mít pochyb o tom, zda jsou naše údaje používány nebo zneužívány, ledaže by nás kousali.

Vyhlídky na soudní spory jsou poněkud zvláštní. Koneckonců, s těmito obrovskými úsilím o skenování dat, většina z nás nebude mít pochyb, zda jsou naše údaje používány nebo zneužívány, pokud se neobnoví kousnutí. Pokud by se tak stalo, bylo by hezké mít proces pro právní odvolání. Znova, vágní jazyk CISPA ztěžuje ochranu soukromí. Richardson z organizace ACLU říká: "Nejde jen o to, co můžete sdílet, ale všechna rozhodnutí, která uděláte na základě sdílených informací, jsou také imunizována. Ve skutečnosti používají tento pojem, "rozhodnutí, která je neuvěřitelně široká". "Dobrá víra" pokrývá mnoho dobrých úmyslných škod

Ale LeDuc SIIA trvá na tom, že existuje proces. "Jednotliví občané neztrácejí schopnost žalovat nebo využít soudy k nápravě," říká. "V každém případě, kdy byla společnost zjištěna, že nekoná" v dobré víře ", pravděpodobně by byla odpovědná za škody na jednotlivci."

Reitman z EFF říká, že obálka "dobré víry" daleko. Chráněni před odpovědností mohou společnosti sdílet více údajů volněji. Například, říká Reitman, "Netflix by mohl vládě dát seznam jmen, čísel kreditních karet, adresy domů a aktivitu účtu pro každého, kdo sledoval film

hackerů

během tří týdnů, které vedly k Netflix "CISPA v současné době zajišťuje civilní dohled nad sdílením dat prostřednictvím Ministerstva vnitřní bezpečnosti a dalších subjektů, ale pokud údaje budou předány k vojenské jednotce, dohled skončí. " Nikdy bychom vědí, co s těmito údaji dělali, "říká Reitman. "Nemyslíme si, že by to bylo v dobré víře, ale pro zákazníky by bylo těžké objevit a později dokázat." CISPA se nemusí dostat daleko

Toto je druhý pokus CISPA získat souhlas Senátu a jeho úspěch není zdaleka jistý - zejména vzhledem k jasnému prohlášení prezidenta o veto CISPA v jeho současné podobě. Ačkoli žádný právní předpis není dokonalý, oponenti poukazují na neurčitost a mezery CISPA jako herní zarážky. Richardson ze společnosti ACLU říká: "Lidé mluví o tom, že se Čína rozbíjí a krade duševní vlastnictví. Kdyby o tom napsali účet, měli bychom méně stížností. CISPA je široká a vyvrcholí spoustou každodenní činnosti. "

CISPA ukazuje komplikované přetahování mezi úsilím o online soukromí a počítačovou bezpečností.

Senátoři také připravují alternativní legislativu v oblasti kybernetické bezpečnosti - i když to minulý rok nefungovalo.. Senátor John D. (Jay) Rockefeller (D-Západní Virginie) sponzoruje Cybersecurity a Americký zákon o konkurenceschopnosti v oblasti civilizace (2013). V tiskové zprávě zveřejněné po hlasování CISPA v Parlamentu senátor Rockefeller řekl: "Dnešní akce v Parlamentu je důležitá, i když ochrana soukromí CISPA je nedostatečná. Potřebujeme jednat o všech prvcích, které posílí naši počítačovou bezpečnost, a nikoliv jenom jeden, a to bude dosaženo Senátem. "Senátorka Dianne Feinsteinová (D-Kalifornie), spoluzpůrce stejného zákona, dosáhla na začátku tohoto týdne, "V současné době připravujeme bipartitanční účet pro sdílení informací a bude pokračovat, jakmile dosáhneme dohody."

Bill ve svém stavu ukazuje komplikované přetahování mezi úsilím o online soukromí a počítačovou bezpečností. Richardson v ACLU se domnívá, že CISPA bude inspirovat senát, aby našel lepší řešení. "Všichni jiní v této hře se dívají na něco cílenějšího a strategičtějšího a chráněného soukromí." Nedokonalá odpověď je tam někde, doufejme, že s takovou ochranou pro malého chlápka vypadá, že je to pro velké údaje.