Este confidențialitatea versus securitatea informatică, deoarece proiectul de lege CISPA ajunge în Senat

Actualizări: Joi, US News a raportat că CISPA "va fi cu siguranță retrasă", citând comentariile unui reprezentant nenumit al Comitetului Senatului SUA pentru Comerț, Știință și Transport. US News a citat și Michelle Richardson, consilier legislativ al ACLU, care a spus: "Cred că este mort pentru moment. CISPA este prea controversat, este prea expansiv, nu este același tip de program avută în vedere de Senat anul trecut". Richardson estimează că ar putea dura câteva luni pentru ca noua legislație să ajungă la vot.

Cybersecurity și viața privată on-line sunt două interese critice care par destinate să nu se înțeleagă niciodată. Desigur, vreți ca hackerii rău-intenționați, spam-ul și alte persoane de internet să fie aduse în fața justiției - dar doriți și să vă protejați datele online.

O mare parte a luptei împotriva criminalității cibernetice necesită totuși colectarea unor date online agregate scanându-l pentru un ac evaziv de activitate suspectă. Datele dvs. online ar putea fi introduse într-una din aceste grămezi și scanate. Ceea ce se întâmplă pe parcurs este presupunerea cuiva.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows] Primul pas în înțelegerea modului în care funcționează securitatea informatică este acceptarea faptului că datele dvs. online vor fi scanate -

De aceea, veți dori să țineți cont de Legea privind partajarea și protecția informațiilor (CISPA), care a trecut săptămâna trecută la Camera Reprezentanților din SUA și este în prezent examinată de Senat, unde este în prezent în comisie. CISPA vizează relaxarea restricțiilor care guvernează în prezent împărtășirea datelor între anchetatorii de securitate informatică. S-ar putea suna destul de rezonabil, dar controversa apare asupra modului în care sunt tratate datele - în mod specific, a modului în care acestea sunt partajate și a modului în care informațiile de identificare personală (PII) sunt reduse la minim.

În plus, proiectul de lege creează un nivel ridicat de imunitate față de procese pentru guvernul și companiile private care împărtășesc date.

Când nu, dacă datele dvs. sunt scanate și partajate

Primul pas în înțelegerea modului în care funcționează securitatea informatică este acceptarea faptului că datele dvs. online sunt deja scanate. Guvernul, autoritățile de aplicare a legii și companiile private se află în căutarea unei activități de internet suspecte. Spam-ul, botnet-urile și hack-urile rău intenționate în site-uri precum Twitter se încadrează într-o categorie largă de criminalitate informatică. Interese și mai mari sunt încercările de a ataca "infrastructura critică" (cum ar fi utilitățile de alimentare cu apă și apă, rețelele de comunicații) sau civilii.

CISPA ar permite companiilor private să împărtășească date considerate a fi "informații despre amenințările cibernetice" CISPA ar permite companiilor private să împărtășească date cu oficialii de aplicare a legii și cu agențiile guvernamentale dacă datele se califică drept ceea ce proiectul de lege numește "informații despre amenințările cibernetice" care ar putea contribui la soluționarea unei infracțiuni. Neclaritatea acestui termen este o mare parte a problemei vieții private, spune Jeramie Scott, coleg de securitate națională la Centrul de informare electronică privind confidențialitatea. "Utilizează termeni ca" vulnerabilitate la o rețea "și" amenințare la adresa integrității unei rețele "în definiția sa, care este lăsată în seama sectorului privat de a interpreta", spune Scott.

Definițiile care acoperă date sunt destul de vagi pentru a invita la supraîncărcare

Neclaritatea CISPA îi oferă companiilor private o mulțime de camere pentru a spori informațiile. "Să spunem că un site de rețele sociale suferă un atac de negare a serviciilor", spune Scott. "Site-ul ar putea oferi guvernului informații detaliate privind diagnosticul, dar ar putea furniza și informații personale despre toate profilurile afectate - inclusiv, de exemplu, cu cine sunteți conectați și detaliile biografice ale profilului - atât timp cât rețeaua socială considerată informația ca parte a "informațiilor despre amenințările cibernetice". "

Potrivit consilierului legislativ Michelle Richardson de la Uniunea Civil Libertăților Americane, fiecare spam stupid pe care îl primiți din Nigeria ar putea face jocul tău corect pentru date pentru investigații suplimentare. "Acestea sunt evenimentele de zi cu zi care sunt evenimentele de securitate cibernetică în cadrul proiectului de lege", spune Richardson. Rainey Reitman, directorul activismului de la Electronic Frontier Foundation, spune că un serviciu ar putea împărtăși orice date pe care le-a considerat "informații despre amenințările cibernetice" și ar putea face acest lucru "fără proces legal, atâta timp cât era în" bună-credință " "

Partajarea datelor va fi mai ușoară sau mai automată

Richardson al ACLU adaugă că, în cadrul CISPA, partajarea datelor va fi netedă - foarte buna. În loc să treacă printr-un proces în care guvernul cere în mod specific informații, "vorbește despre un fel de proces care va transmite în mod automat guvernului", spune Richardson.

Dacă datele vor fi direcționate automat, când și cum PII devine scos din date devine o problemă mai mare. Din păcate, nimeni nu vorbește despre a face identitatea utilizatorilor complet anonimă. Nu, oamenii din spatele CISPA sunt mulțumiți de simpla "reducere" - făcând un efort rezonabil pentru a elimina PII. Iată în acest caz definiția "informațiilor privind amenințările cibernetice", care încă o dată intră în joc, afirmă EPIC: "CISPA nu impune [o companie privată] să înlăture sau să restrângă informațiile furnizate guvernului atâta timp cât acesta intră sub umbrela largă din informațiile despre amenințările cibernetice. "

Experții în securitate caută tendințe, prevalența anumitor comportamente și modelele de propagare pentru malware - nu la informațiile personale. -David LeDuc, SIIA

Deși pare logic ca societatea furnizoare să scape PII de datele pe care le împărtășesc, în cadrul CISPA această sarcină revine guvernului. David LeDuc este directorul general al politicii publice pentru Asociația Industriei Software și a Informațiilor, un important grup comercial care reprezintă dezvoltatorii de software și afacerile cu conținut digital, care sprijină CISPA. LeDuc scade importanța PII în securitatea informatică, spunând că nu este vorba de interesele profesioniștilor implicați în lupta împotriva criminalității informatice. "Experții în securitate caută tendințe", spune el, "prevalența anumitor comportamente și modele de propagare pentru malware - nu la informația personală."

LeDuc subliniază, de asemenea, că CISPA a fost modificată de la opțiunea de a face ca minimalizarea bazată pe guvern să fie facultativă este obligatorie. "Guvernul federal trebuie să minimizeze informațiile pe care le primește de la sectorul privat pentru a obține informații despre anumite persoane care nu sunt necesare pentru a răspunde unei amenințări cibernetice", afirmă el.

Totuși, acest amendament nu se referă la întrebarea ce se întâmplă date partajate între companiile private. Deoarece numai guvernul are misiunea de a minimiza PII în cadrul CISPA, companiile private pot împărtăși relativ date bogate în PII între ele, fără a depune eforturi în vederea minimizării. Vorbind înainte de votarea Camerei CISPA, reprezentantul Adam Schiff (D-California) și-a exprimat dezaprobarea. "Entitățile private pot împărtăși informații între ele fără a trece vreodată prin guvern", a spus el. "În aceste circumstanțe, cum poate guvernul să minimizeze ceea ce nu posedă niciodată? Nu este suficient doar minimizarea guvernelor, care include tot acest proiect de lege. "

Congresmanul Schiff a introdus un amendament pentru a aborda această lacună, însă se plânge că sponsorii CISPA nu au adus-o niciodată în fața Parlamentului pentru vot.

Ce îngrijorează companiile private: procese

Sub toată această discuție despre împărtășire și minimizare, ceea ce CISPA pare a fi în realitate este protejarea companiilor care furnizează datele de a fi acționate în justiție pentru a face acest lucru. Când a fost întrebat care este cel mai important lucru pentru consumatori de a ști despre CISPA, LeDuc al SIIA a spus că riscurile de răspundere au răsturnat eforturile de securitate cibernetică. "Din păcate, în conformitate cu cadrul juridic actual, companiile sau orice entități private se confruntă cu riscul unor acțiuni de reglementare sau de drept pentru schimbul de informații despre care cred că ar putea fi valoroase pentru prevenirea sau atenuarea unei amenințări sau a unui incident de securitate cibernetică", afirmă el.Cei mai mulți dintre noi nu vor avea nicio idee dacă datele noastre sunt folosite sau folosite în mod greșit, dacă nu ne revarsă.

Perspectiva litigiilor este oarecum ciudată. La urma urmei, cu aceste eforturi uriașe de scanare a datelor, majoritatea dintre noi nu vor avea nicio idee dacă datele noastre sunt folosite sau folosite în mod greșit, dacă nu ne-ar mânca. Dacă s-ar întâmpla acest lucru, ar fi frumos să existe un proces de recurs legal. Aici, din nou, limbajul vag al CISPA face ca confidențialitatea să fie mai greu de protejat. Richardson de la ACLU spune: "Nu este doar ceea ce puteți împărtăși, dar deciziile pe care le faceți pe baza informațiilor partajate sunt, de asemenea, imunizate. Ei folosesc termenul "deciziile făcute", care sunt incredibil de largi. "

" Bună credință "acoperă o mulțime de prejudicii bine intenționate

Dar LeDuc insistă asupra faptului că există un proces. "Cetățenii individuali nu își pierd capacitatea de a da în judecată sau de a folosi instanțele pentru căi de atac", spune el. "Orice caz în care o companie a fost constatat că nu acționează" cu bună-credință ", ar fi probabil responsabili pentru daunele unui individ."

Reitman al FEP spune că acoperirea "bunei credințe" departe. Protejate de răspundere, companiile ar putea partaja mai multe date mai liber. De exemplu, spune Reitman, "Netflix ar putea da guvernului o lista cu nume, numere de carti de credit, adrese de acasa si activitate de cont pentru toti cei care au vizionat filmul

Hackerii

in timpul celor trei saptamani care au dus la Netflix care suferă un atac ușor DDOS. "CISPA prevede în prezent supravegherea civilă a schimbului de date prin Departamentul pentru Securitate Internă și alte entități, dar dacă datele sunt transmise apoi unei entități militare, supravegherea se va termina. știți ce au făcut cu aceste date ", spune Reitman. "Noi nu credem că ar fi cu bună-credință, dar ar fi greu pentru clienți să descopere și mai târziu să dovedească". CISPA nu poate ajunge departe Aceasta este a doua încercare a CISPA de a câștiga aprobarea Senatului și succesul său este departe de a fi sigur - având în vedere în special intenția precizată a președintelui de a veto CISPA în forma sa actuală. Deși nici o lege nu este perfectă, adversarii indică neclaritatea și lacunele CISPA ca opriri de joc. Potrivit lui Richardson, ACLU spune: "Oamenii vorbesc despre faptul că China a spart și a furat proprietatea intelectuală. Dacă ar fi scris un proiect de lege despre asta, am avea mai puține plângeri. CISPA e larg răspândită și desfășoară o grămadă de activități cotidiene. "

CISPA demonstrează războiul complicat de război între intimitatea online și eforturile de securitate cibernetică.

Senatorii pregătesc, de asemenea, o legislație alternativă privind securitatea informatică - deși nu a funcționat anul trecut, fie. Senatorul John D. (Jay) Rockefeller (D-West Virginia) sponsorizează Cybersecurity și American Cyber ​​Competitiveness Act din 2013 (în timp ce el a făcut un efort similar din 2012, care a stagnat). Într-un comunicat de presă postat după votul Camerei de la CISPA, senatorul Rockefeller a spus: "Acțiunea de astăzi în Parlament este importantă, chiar dacă protecția vieții private a CISPA este insuficientă. Avem nevoie de acțiuni asupra tuturor elementelor care vor consolida securitatea informatică, nu doar una, și asta va face Senatul. "Realizată la începutul acestei săptămâni, senatorul Dianne Feinstein (D-California), co-sponsor al aceluiași proiect de lege, a declarat, "În prezent, redactăm un proiect de lege privind schimbul de informații bipartizan și vom proceda imediat ce ajungem la un acord."

Proiectul de lege, așa cum este prezentat, arată dificultatea de război între eforturile de confidențialitate online și eforturile de securitate cibernetică. Richardson din ACLU consideră că CISPA va inspira Senatul pentru a găsi o soluție mai bună. "Toți ceilalți din acest joc se uită la ceva mai bine direcționat, strategic și protejat de confidențialitate." Răspunsul imperfect este acolo undeva, sperăm, cu o protecție atât de mare pentru micul tip cât pare să fie pentru date mari.