Είναι το απόρρητο έναντι της ασφάλειας του κυβερνοχώρου καθώς το νομοσχέδιο CISPA φθάνει στη Γερουσία

Ενημέρωση: Την Πέμπτη, τα αμερικανικά νέα ανέφεραν ότι η CISPA "σχεδόν σίγουρα θα αποσυρθεί", επικαλούμενη τα σχόλια ενός ανώνυμου αντιπροσώπου της Επιτροπής Συναλλαγών, Επιστημών και Μεταφορών της Γερουσίας των ΗΠΑ. Η αμερικανική είδηση ​​ανέφερε επίσης τη Michelle Richardson, νομοθετική συμβουλευτική ομάδα στην ACLU, η οποία δήλωσε: "Νομίζω ότι είναι νεκρό επί του παρόντος." Η CISPA είναι υπερβολικά αμφιλεγόμενη, είναι υπερβολικά εκτεταμένη, δεν είναι ακριβώς το ίδιο πρόγραμμα που εξετάζει η Γερουσία πέρυσι. Ο Richardson εκτιμά ότι μπορεί να χρειαστούν αρκετοί μήνες για την ψηφοφορία για νέα νομοθεσία.

Η ασφάλεια του κυβερνοχώρου και η ιδιωτικότητα στο διαδίκτυο είναι δύο κρίσιμα συμφέροντα που φαίνεται ότι δεν προορίζονται ποτέ να περάσουν. Σίγουρα, θέλετε να προσφέρονται στη δικαιοσύνη κακόβουλοι χάκερ, spammers και άλλοι φτωχότεροι του Διαδικτύου - αλλά θέλετε επίσης να προστατέψετε τα δεδομένα σας στο διαδίκτυο.

Ένα μεγάλο μέρος της καταπολέμησης του εγκλήματος στον κυβερνοχώρο, ωστόσο, απαιτεί τη συλλογή συγκεντρωτικών ηλεκτρονικών δεδομένων σαρώντας το για μια φευγαλέα βελόνα ύποπτης δραστηριότητας. Τα ηλεκτρονικά σας δεδομένα θα μπορούσαν να μεταφερθούν σε έναν από αυτούς τους σωρούς και να σαρωθούν. Αυτό που συμβαίνει σε αυτό το δρόμο είναι ο καθένας.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows] Το πρώτο βήμα για να κατανοήσετε τον τρόπο λειτουργίας του cybersecurity είναι να δεχτείτε ότι τα δεδομένα σας online θα σαρωθούν -

Γι 'αυτό, θα θελήσετε να παρακολουθήσετε τον νόμο για την κοινοχρησία και την προστασία των πληροφοριών Cyber ​​Intelligence (CISPA), ο οποίος ψηφίστηκε την περασμένη εβδομάδα στη Βουλή των Αντιπροσώπων των ΗΠΑ και τώρα εξετάζεται από τη Γερουσία,. Η CISPA αποσκοπεί να χαλαρώσει τους περιορισμούς που διέπουν επί του παρόντος την ανταλλαγή δεδομένων μεταξύ των ερευνητών του κυβερνοχώρου. Αυτό μπορεί να ακούγεται αρκετά λογικό, αλλά η αντιπαράθεση ανακύπτει σχετικά με τον τρόπο με τον οποίο χειρίζονται τα δεδομένα - ειδικά, τον τρόπο με τον οποίο είναι κοινόχρηστα και τον τρόπο ελαχιστοποίησης των πληροφοριών προσωπικής ταυτοποίησης.

Επιπλέον, το νομοσχέδιο δημιουργεί ένα υψηλό επίπεδο ασυλίας για την κυβέρνηση και τις ιδιωτικές εταιρείες που μοιράζονται δεδομένα. Αυτό δεν είναι ακριβώς παρήγορο όταν μοιράζεστε τα δεδομένα σας

Πότε, αν όχι, τα δεδομένα σας σαρώνονται και μοιράζονται

Το πρώτο βήμα για να κατανοήσετε τον τρόπο λειτουργίας του cybersecurity είναι να αποδεχτείτε ότι τα δεδομένα σας στο διαδίκτυο είναι ήδη σαρωμένα. Οι κυβερνήσεις, οι αρχές επιβολής του νόμου και οι ιδιωτικές εταιρείες βρίσκονται στην επιφυλακή για ύποπτη δραστηριότητα στο Διαδίκτυο. Οι spammers, botnets και κακόβουλοι hacks σε τοποθεσίες όπως το Twitter εμπίπτουν σε μία ευρεία κατηγορία εγκλημάτων στον κυβερνοχώρο. Ακόμη μεγαλύτερη ανησυχία αποτελούν οι προσπάθειες επίθεσης των «κρίσιμων υποδομών» (όπως οι υπηρεσίες κοινής ωφέλειας και ύδρευσης και τα δίκτυα επικοινωνιών) ή οι πολίτες

Η CISPA θα επιτρέψει στις ιδιωτικές εταιρείες να μοιράζονται δεδομένα που θεωρούνται "πληροφορίες απειλής στον κυβερνοχώρο".

Η CISPA θα επιτρέψει σε ιδιωτικές εταιρείες να μοιράζονται δεδομένα με αξιωματούχους της επιβολής του νόμου και κυβερνητικές υπηρεσίες, εάν τα δεδομένα χαρακτηρίζονται ως αυτά που το νομοσχέδιο ονομάζει "πληροφορίες απειλής στον κυβερνοχώρο" που θα μπορούσαν να βοηθήσουν στην επίλυση ενός εγκλήματος. Η ασάφεια αυτού του όρου είναι ένα μεγάλο μέρος του προβλήματος της ιδιωτικής ζωής, λέει η Jeramie Scott, εθνική ομάδα ασφαλείας στο Κέντρο Πληροφόρησης για την Προστασία της ιδιωτικής ζωής. "Χρησιμοποιεί όρους όπως« ευπάθεια σε ένα δίκτυο »και« απειλή για την ακεραιότητα ενός δικτύου »στον ορισμό του που αφήνεται στον ιδιωτικό τομέα να ερμηνεύσει», λέει ο Scott.

Οι ορισμοί που καλύπτουν τα δεδομένα είναι αρκετά ασαφείς για να προσκαλέσουν την υπερπήδηση

Η ασάφεια της CISPA δίνει στις ιδιωτικές επιχειρήσεις πολλούς χώρους για να υπερβούν τις πληροφορίες. "Πείτε ότι ένας ιστότοπος κοινωνικής δικτύωσης υποφέρει από μια επίθεση άρνησης υπηρεσίας", λέει ο Scott. "Ο ιστότοπος θα μπορούσε απλώς να προσφέρει τις πιο σχετικές διαγνωστικές λεπτομέρειες στην κυβέρνηση, αλλά θα μπορούσε επίσης να παρέχει τις προσωπικές πληροφορίες για όλα τα επηρεαζόμενα προφίλ - συμπεριλαμβανομένων, για παράδειγμα, με ποιον είστε συνδεδεμένοι και λεπτομέρειες βιογραφικού προφίλ - εφόσον το κοινωνικό δίκτυο θεωρείται το πληροφοριακό μέρος της πληροφορίας «απειλή στον κυβερνοχώρο». <"

Σύμφωνα με τον νομοθέτη Michelle Richardson της Αμερικανικής Ένωσης Πολιτικών Ελευθεριών, κάθε ηλίθιο spam που λαμβάνετε από τη Νιγηρία θα μπορούσε να κάνει τα δεδομένα σας δίκαιο παιχνίδι για περαιτέρω έρευνα. "Αυτά είναι καθημερινά γεγονότα που είναι γεγονότα στον κυβερνοχώρο κάτω από το νομοσχέδιο", λέει ο Richardson. Ο Rainey Reitman, διευθυντής ακτιβισμού στο Ίδρυμα Electronic Frontier Foundation, λέει ότι μια υπηρεσία θα μπορούσε να μοιραστεί οποιαδήποτε δεδομένα θεωρούσε "πληροφορίες απειλής στον κυβερνοχώρο" και θα μπορούσε να το πράξει "χωρίς νομική διαδικασία, εφόσον ήταν σε καλή πίστη και για" "

Η κοινή χρήση δεδομένων θα είναι ευκολότερη ή αυτόματη

Ο Richardson της ACLU προσθέτει ότι στο πλαίσιο της CISPA, η ανταλλαγή δεδομένων θα είναι ομαλή - πραγματικά ομαλή. Αντί να περάσουν από μια διαδικασία στην οποία η κυβέρνηση ζητά ρητά πληροφορίες, «μιλάνε για κάποια διαδικασία που θα προωθήσει αυτόματα την κυβέρνηση», λέει ο Richardson

Αν τα δεδομένα πρόκειται να δρομολογηθούν αυτόματα, πότε και πώς απομακρύνεται το PII από τα δεδομένα γίνεται ένα μεγαλύτερο πρόβλημα. Δυστυχώς, κανείς δεν μιλά για να κάνει την ταυτότητα των χρηστών εντελώς ανώνυμη. Όχι, οι άνθρωποι πίσω από την CISPA είναι ικανοποιημένοι με την απλή "ελαχιστοποίηση" - καταβάλλοντας μια λογική προσπάθεια να αφαιρέσουν το PII. Ακολουθεί ο ορισμός του "πληροφορίες για την απειλή του κυβερνοχώρου" για άλλη μια φορά, σύμφωνα με τον Scott του EPIC: "Η CISPA δεν απαιτεί [μια ιδιωτική εταιρεία] να αφαιρέσει ή να περιορίσει με άλλο τρόπο τις πληροφορίες που παρέχονται στην κυβέρνηση, εφόσον εμπίπτει στην ευρεία ομπρέλα πληροφοριών σχετικά με απειλές στον κυβερνοχώρο. "

Οι ειδικοί ασφαλείας αναζητούν τις τάσεις, την επικράτηση ορισμένων συμπεριφορών και τα πρότυπα διάδοσης για κακόβουλα προγράμματα - όχι σε προσωπικές πληροφορίες. -David LeDuc, SIIA Παρόλο που φαίνεται να έχει νόημα για την παρέχουσα την εταιρεία να αποσυρθεί από το PII από τα δεδομένα που μοιράζονται, υπό την CISPA το καθήκον αυτό πέφτει στην κυβέρνηση. Ο David LeDuc είναι ανώτερος διευθυντής της δημόσιας πολιτικής για την Ένωση Βιομηχανιών Λογισμικού και Πληροφοριών, μια σημαντική εμπορική ομάδα που εκπροσωπεί επιχειρήσεις ανάπτυξης λογισμικού και επιχειρήσεις ψηφιακού περιεχομένου, η οποία υποστηρίζει την CISPA. Ο LeDuc υποβαθμίζει τη σημασία της PII στην ασφάλεια του κυβερνοχώρου, λέγοντας ότι δεν είναι αυτό που ενδιαφέρει τους επαγγελματίες που ασχολούνται με την καταπολέμηση του εγκλήματος στον κυβερνοχώρο. "Οι εμπειρογνώμονες στον τομέα της ασφάλειας αναζητούν τάσεις", λέει, "η επικράτηση ορισμένων συμπεριφορών και τα πρότυπα διάδοσης για κακόβουλα προγράμματα - όχι σε προσωπικές πληροφορίες."

Η LeDuc επισημαίνει επίσης ότι η CISPA τροποποιήθηκε από την προαιρετική βασισμένη στην κυβέρνηση ελαχιστοποίηση είναι υποχρεωτική. "Η ομοσπονδιακή κυβέρνηση πρέπει να ελαχιστοποιήσει τις πληροφορίες που λαμβάνει από τον ιδιωτικό τομέα για να πάρει πληροφορίες για συγκεκριμένα άτομα που δεν είναι απαραίτητα για να ανταποκριθούν σε μια απειλή στον κυβερνοχώρο", λέει.

Ωστόσο, η παρούσα τροπολογία δεν ασχολείται με το τι συμβαίνει δεδομένα που μοιράζονται ιδιωτικές εταιρείες. Επειδή μόνο η κυβέρνηση έχει τη δουλειά της ελαχιστοποίησης της PII στο πλαίσιο της CISPA, οι ιδιωτικές εταιρείες ενδέχεται να μοιράζονται σχετικά δεδομένα πλούσια σε PII μεταξύ τους χωρίς να καταβάλλουν προσπάθειες για ελαχιστοποίηση. Μιλώντας ενώπιον της Βουλής για την CISPA, ο εκπρόσωπος Adam Schiff (D-Καλιφόρνια) κατέστησε σαφή την αποδοκιμασία του. "Οι ιδιωτικοί φορείς μπορούν να μοιράζονται πληροφορίες μεταξύ τους χωρίς ποτέ να περάσουν από την κυβέρνηση", ανέφερε. "Υπό αυτές τις συνθήκες, πώς μπορεί η κυβέρνηση να ελαχιστοποιήσει αυτό που δεν διαθέτει ποτέ; Ο περιορισμός της κυβερνητικής πλευράς και μόνο, που είναι όλο αυτό το νομοσχέδιο, δεν αρκεί ».

Ο συνάδελφος Schiff εισήγαγε μια τροπολογία για να αντιμετωπίσει αυτό το κενό, αλλά παραπονείται ότι οι χορηγοί της CISPA δεν το έφεραν ποτέ στο Σώμα για ψηφοφορία.

Ποιες ιδιωτικές εταιρείες ενδιαφέρονται: αγωγές

Κάτω από όλη αυτή τη συζήτηση για την κατανομή και την ελαχιστοποίηση, η CISPA φαίνεται να προστατεύει αποτελεσματικά τις εταιρείες που παρέχουν τα δεδομένα από το να μηνυθούν για κάτι τέτοιο. Όταν ρωτήθηκε ποιο είναι το πιο σημαντικό πράγμα που πρέπει να γνωρίζουν οι καταναλωτές για την CISPA, ο LeDuc της SIIA δήλωσε ότι οι κίνδυνοι ευθύνης αποδυνάμωσαν τις προσπάθειες στον τομέα της ασφάλειας στον κυβερνοχώρο. "Δυστυχώς, σύμφωνα με το ισχύον νομικό πλαίσιο, οι εταιρείες ή οι ιδιωτικές οντότητες αντιμετωπίζουν κίνδυνο ρυθμιστικών ή νομικών ενεργειών για την ανταλλαγή πληροφοριών που πιστεύουν ότι θα μπορούσαν να είναι πολύτιμες για την πρόληψη ή τον μετριασμό μιας απειλής ή περιστατικού στον κυβερνοχώρο».Οι περισσότεροι από εμάς δεν θα έχουν ιδέα για το αν τα δεδομένα μας χρησιμοποιούνται ή καταχράται, εκτός και αν επανέλθει για να μας δαγκώσει.

Η προοπτική της επίλυσης διαφορών είναι κάπως περίεργη. Εξάλλου, με αυτές τις τεράστιες προσπάθειες σάρωσης δεδομένων, οι περισσότεροι από εμάς δεν θα έχουν ιδέα εάν τα δεδομένα μας χρησιμοποιούνται ή καταχράται, εκτός και αν επιστρέψει να μας δαγκώσει. Αν αυτό συνέβαινε, ωστόσο, θα ήταν ωραίο να έχουμε μια διαδικασία προσφυγής στη δικαιοσύνη. Και εδώ, η ασαφής γλώσσα της CISPA καθιστά την προστασία της ιδιωτικής ζωής πιο δύσκολη. Ο Richardson της ACLU λέει: "Δεν είναι μόνο αυτό που μπορείτε να μοιραστείτε, αλλά οι αποφάσεις που λαμβάνετε με βάση τις πληροφορίες που μοιράζονται είναι επίσης ανοσοποιημένες. Στην πραγματικότητα χρησιμοποιούν τον όρο "αποφάσεις που έχουν γίνει", κάτι που είναι απίστευτα ευρύ. "Η καλή πίστη καλύπτει πολλές καλοπροαίρετες ζημιές

Ωστόσο, ο LeDuc της SIIA επιμένει ότι υπάρχει μια διαδικασία. "Οι μεμονωμένοι πολίτες δεν χάνουν την ικανότητά τους να μηνύσουν ή να χρησιμοποιήσουν τα δικαστήρια για αποζημίωση", λέει. "Κάθε περίπτωση που μια εταιρεία έχει βρεθεί ότι δεν ενεργεί με« καλή πίστη », θα ήταν πιθανότατα υπεύθυνη για βλάβη σε ένα άτομο.

Ο Reitman του EFF λέει ότι η κάλυψη της« καλής πίστης »θα μπορούσε εύκολα να πάει πάρα πολύ μακριά. Προστατεύονται από ευθύνη, οι εταιρείες μπορούν να μοιράζονται περισσότερα δεδομένα πιο ελεύθερα. Για παράδειγμα, λέει ο Reitman, "η Netflix θα μπορούσε να δώσει στην κυβέρνηση μια λίστα με ονόματα, αριθμούς πιστωτικών καρτών, διευθύνσεις στο σπίτι και δραστηριότητα λογαριασμού για όσους παρακολούθησαν την ταινία

Hackers

κατά τη διάρκεια των τριών εβδομάδων που οδηγούσαν στο Netflix "Η CISPA προβλέπει επί του παρόντος την πολιτική επίβλεψη της ανταλλαγής δεδομένων μέσω του Υπουργείου Εσωτερικής Ασφάλειας και άλλων οντοτήτων, αλλά αν τα δεδομένα διαβιβαστούν στη συνέχεια σε μια στρατιωτική οντότητα, η επίβλεψη τελειώνει. ξέρουν τι έκαναν με αυτά τα δεδομένα ", λέει ο Reitman. «Δεν πιστεύουμε ότι θα ήταν καλή πίστη, αλλά θα ήταν δύσκολο για τους πελάτες να ανακαλύψουν και αργότερα να αποδείξουν».

Η CISPA δεν μπορεί να φτάσει πολύ Αυτή είναι η δεύτερη προσπάθεια της CISPA να κερδίσει την έγκριση της Γερουσίας, και η επιτυχία της δεν είναι καθόλου βέβαιη -ιδίως δεδομένης της σαφώς δηλωμένης πρόθεσης του Προέδρου να αρνηθεί την CISPA με την παρούσα μορφή του. Αν και κανένα κομμάτι της νομοθεσίας δεν είναι τέλειο, οι αντίπαλοι δείχνουν την ασάφεια και τα κενά της CISPA ως πώματα παιχνιδιού. Ο Richardson της ACLU λέει: "Οι άνθρωποι μιλάνε για την καταστροφή της Κίνας και την κλοπή της πνευματικής ιδιοκτησίας. Εάν είχαν γράψει ένα νομοσχέδιο για αυτό, θα είχαμε λιγότερα παράπονα. Η CISPA διευρύνει και εκτελεί πολλή καθημερινή δραστηριότητα. Η CISPA δείχνει το περίπλοκο ρυμουλκό του πολέμου μεταξύ της ιδιωτικής ζωής και των προσπαθειών στον κυβερνοχώρο.

Οι γερουσιαστές ετοιμάζουν επίσης εναλλακτική νομοθεσία για την ασφάλεια στον κυβερνοχώρο - αν και αυτό δεν λειτούργησε πέρυσι. Ο Γερουσιαστής John D. (Jay) Rockefeller (D-Δυτική Βιρτζίνια) χορηγεί τον νόμο Cybersecurity και American Cyber ​​Competitiveness Act του 2013 (όπως έκανε μια παρόμοια προσπάθεια του 2012 που στάθηκε). Σε ένα δελτίο τύπου που δημοσιεύτηκε μετά την ψηφοφορία στο Σώμα σχετικά με τη CISPA, ο γερουσιαστής Rockefeller είπε: "Η σημερινή δράση στο Σώμα είναι σημαντική, ακόμη και αν η προστασία της ιδιωτικής ζωής της CISPA είναι ανεπαρκής. Χρειαζόμαστε δράση για όλα τα στοιχεία που θα ενισχύσουν την ασφάλεια του κυβερνοχώρου μας, όχι μόνο μία, και αυτό θα επιτύχει η Γερουσία. "Την περασμένη εβδομάδα, η γερουσιαστής Dianne Feinstein (D-Καλιφόρνια), που συνυπέγραψε το ίδιο νομοσχέδιο, δήλωσε, "Σήμερα, συντάσσουμε ένα νομοσχέδιο για την ανταλλαγή πληροφοριών και θα ξεκινήσουμε αμέσως μόλις καταλήξουμε σε συμφωνία."

Το νομοσχέδιο, όπως φαίνεται σήμερα, δείχνει το περίπλοκο ρυμουλκό του πολέμου μεταξύ των προσπαθειών του ιδιωτικού απορρήτου και της ασφάλειας στον κυβερνοχώρο. Ο Richardson της ACLU πιστεύει ότι η CISPA θα εμπνεύσει τη Γερουσία να βρει μια καλύτερη λύση. "Όλοι οι άλλοι σε αυτό το παιχνίδι εξετάζουν κάτι πιο στοχοθετημένο και στρατηγικό και προστατεύονται από την ιδιωτικότητα." Η ατελής απάντηση είναι κάπου, ελπίζουμε ότι με τόσο μεγάλη προστασία για τον μικρό τύπο όσο φαίνεται να υπάρχουν μεγάλα δεδομένα.