Privatnost prema cybersecurity dok CISPA račun stiže u Senat

Ažuriranje: U četvrtak, US News izvijestili su da će CISPA "gotovo sigurno biti policajac", navodeći komentare neidentificiranog predstavnika američkog Odbora Senata za trgovinu, znanost i promet. Američka vijest je također citira Michelle Richardson, zakonodavnog savjetnika s ACLU-om, koja je rekla: "Mislim da je za sada umrla. CISPA je previše kontroverzna, prevelika je, to nije istu vrstu programa koji je prošle godine promišljao Senat". Richardson procjenjuje kako bi moglo potrajati nekoliko mjeseci kako bi novi zakon stupio na snagu.

Cybersecurity i online privacy su dva kritična interesa koja izgledaju kao da nisu nikada povezani. Naravno da želite da zlonamjerni hakeri, spameri i drugi internetski oglasi dovedu pred lice pravde - ali želite i zaštititi svoje online podatke. Međutim, veliki dio borbe protiv kibernetičkog kriminala zahtijeva prikupljanje ukupnih podataka na mreži od hešetaka i skenirajući je za neizbježnu iglu sumnjive aktivnosti. Vaši se mrežni podaci mogu pretražiti u jedan od tih hrpe i skenirati. Što se događa s njim na putu je netko tko nagađa.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows] Prvi korak u razumijevanju funkcioniranja kibernetičke sigurnosti jest prihvaćanje skeniranja vaših mrežnih podataka i već se

Zbog toga ćete htjeti pratiti Zakon o razmjeni i zaštiti informativne inteligencije (Cyber ​​Intelligence Sharing and Protection) (Cyber ​​Intelligence Sharing and Protection Act) koji je proteklog tjedna prošli Zastupnički dom Sjedinjenih Američkih Država, a sada ga razmatra Senat, gdje je trenutno u odboru, CISPA ima za cilj otkloniti ograničenja koja trenutno reguliraju razmjenu podataka među istražiteljima cybersecurity. To može zvučati dovoljno razumno, ali nastaju kontroverze oko toga kako se podaci obrađuju - konkretno, kako se dijele i kako se podaci o osobnim podacima (PII) minimiziraju.

Uz to, račun stvara visoku razinu imuniteta od tužbi za vladu i privatne tvrtke koje dijele podatke. Ovo nije baš utješno kada dijele vaše podatke.

Kada, ne ako se vaši podaci skeniraju i dijele

Prvi korak u razumijevanju funkcioniranja kibernetike prihvaća da se vaši mrežni podaci već pretražuju, Vlada, provođenje zakona i privatne tvrtke sve su u potrazi za aktivnošću sumnjivih Interneta. Spameri, botnetovi i zlonamjerni hakeri na web stranice poput Twittera spadaju u jednu široku kategoriju cyber kriminala. Još je veća zabrinutost pokušaj da napadnu "kritičnu infrastrukturu" (kao što su moć, vodovod i komunikacijske mreže) ili civili.

CISPA će dopustiti privatnim tvrtkama da dijele podatke koji se smatraju "informacijama o kibernetičkim opasnostima".

CISPA će dopustiti privatnim tvrtkama da dijele podatke sa službenicima za provedbu zakona i vladinim agencijama ako se podaci podudaraju s onim što račun naziva "informacijama o kibernetičkim prijetnjama" koje bi mogle pomoći u rješavanju zločina. Neodređenost tog izraza velik je dio problema s privatnošću, kaže Jeramie Scott, državni tajnik u elektronskom informacijskom centru za privatnost. "Ona koristi pojmove poput" ranjivost na mrežu "i" prijetnju integritetu mreže "u svojoj definiciji koja je prepuštena privatnom sektoru da tumači", kaže Scott.

Definicije koje pokrivaju podatke dovoljno su neodređene da pozovu ovjesnu

Nejasnoća CISPA-e daje privatnim tvrtkama puno prostora za prebacivanje informacija. "Recite da site za društveno umrežavanje pati od napada uskraćivanja", kaže Scott. "Web mjesto bi moglo samo ponuditi relevantnije dijagnostičke detalje vladi, ali može pružiti i osobne podatke o svim podacima koji su na to utjecali, uključujući, na primjer, s kime ste povezani i podatke o pojedinostima profila - sve dok društvena mreža smatra informacijskim dijelom 'informacije o cyberinškoj opasnosti'. "

Prema zakonodavnoj savjetnici Michelle Richardson iz Američke unije za građanske slobode, svaki glupi spam koji dobivate od Nigerije mogao bi vaše podatke učiniti fer igra za daljnju istragu. "To su svakodnevni događaji koji su računalna događanja u vezi cybersecuritya", kaže Richardson. Rainey Reitman, direktor aktivizma u Zakladi Electronic Frontier, kaže da bi usluga mogla podijeliti sve podatke koji su smatrali "informacijama o cyber prijetnjama" i to bi mogli učiniti "bez pravnog postupka, sve dok je bio u" dobroj vjeri "i" "

Dijeljenje podataka bit će lakše ili automatsko

ACLU-ov Richardson dodaje da će pod CISPA, dijeljenje podataka biti glatka - stvarno glatka. Umjesto da prolazi kroz proces u kojem vlada posebno traži informacije, "oni govore o nekoj vrsti procesa koji automatski prosljeđuje stvari vladi", kaže Richardson.

Ako se podaci automatski preusmjeravaju, kada i kako se PII dobiva iz podataka postaje veći problem. Nažalost, nitko ne govori o tome da korisnički identiteti potpuno anonimni. Ne, ljudi koji stoje iza CISPA-a zadovoljni su pukom "minimalizacijom" - stvaranjem razumnih napora za uklanjanje osobnih podataka. Evo gdje se ponovno definira "informacijska informacija o cyber-prijetnji", kaže Scott: "CISPA ne zahtijeva [privatnu tvrtku] uklanjanje ili na drugi način sužavanje informacija koje se dostavljaju vladi sve dok padne pod široki kišobran cyber threat information. "

Sigurnosni stručnjaci traže trendove, učestalost određenih ponašanja i obrasce širenja zlonamjernog softvera - a ne na osobnim podacima. -David LeDuc, SIIA

Iako izgleda da ima smisla da tvrtka koja pruža tvrtka uklanja PII od podataka koje dijele, pod CISPA taj zadatak pada na vladu. David LeDuc je viši direktor javne politike za Software & Information Industry Association, glavnu trgovinsku grupu koja predstavlja softverske programere i tvrtke za digitalne sadržaje, koja podržava CISPA. LeDuc smanjuje važnost PII u cybersecurity, rekavši da to nije ono što interesi profesionalci sudjelovali u borbi protiv cyber kriminala. "Sigurnosni stručnjaci traže trendove", kaže on, "prevalencija određenih ponašanja i obrazaca širenja zlonamjernog softvera, a ne na osobnim podacima."

LeDuc također ističe da je CISPA izmijenjen i dopuna to je obavezno. "Savezna vlada mora minimalizirati podatke koje prima od privatnog sektora kako bi prikupio informacije o specifičnim osobama koje nisu neophodne da bi odgovorile na računalnu prijetnju", kaže on.

Međutim, ova izmjena ne obrađuje pitanje što se događa podaci podijeljeni između privatnih tvrtki. Budući da samo vlada ima zadatak smanjiti PII pod CISPA, privatne tvrtke mogu dijeliti relativno bogate podatke s PII-om, bez ikakvog napora prema minimiziranju. Predstavnik Adam Schiff (D-Kalifornija), koji je govorio pred glasanjem Doma o CISPA-u, jasno je izrazio svoje neodobravanje. "Privatni subjekti mogu razmjenjivati ​​informacije jedni s drugima bez da ikada prolaze kroz vladu", kazao je. "U takvim okolnostima, kako vlada može smanjiti ono što nikada ne posjeduje? Dakle, samo smanjenje na državnoj razini, što je sve ovo, ne sadrži dovoljno. "

Kongresnik Schiff predstavio je amandman kako bi se riješio ove praznine, ali se žali na to da sponzori CISPA nikada nisu donijeli odluku pred Skupom za glasovanje.

Kakve su to privatne tvrtke: tužbe

Ispod svega ovoga razgovora o podjeli i minimiziranju onoga što CISPA doista izgleda radi, štiti tvrtke koje pružaju podatke da budu tužene zbog toga. Na pitanje što je najvažnija stvar za potrošače da znaju o CISPA, SIIA je LeDuc izjavio da rizici odgovornosti prigušuju napore na računalnoj sigurnosti. "Nažalost, prema trenutnom pravnom okviru, tvrtke ili bilo koje privatne osobe suočavaju se s rizikom od regulatornih ili pravnih radnji za razmjenu podataka za koje vjeruju da bi mogli biti vrijedni za sprječavanje ili ublažavanje prijetnje ili incidenta u cybersecurityu", kaže on.Većina nas neće imati pojma da li se naši podaci upotrebljavaju ili zloupotrijebe, osim ako se ne vrati da nas ugrize.

Mogućnost parnica je pomalo čudna. Uostalom, s ovim ogromnim naporima za skeniranje podataka, većina nas neće imati pojma jesu li naši podaci korišteni ili zloupotrijebljeni, osim ako se ne vrati da nas ugrize. Ako se to dogodi, ipak bi bilo lijepo imati postupak za pravni postupak. Ovdje opet, nejasni jezik CISPA-e otežava zaštitu privatnosti. Richardson iz ACLU-a kaže: "To nije samo ono što možete podijeliti, ali sve odluke koje donosite na temelju podijeljenih podataka također su imunizirane. Oni zapravo upotrebljavaju taj pojam "odluke koje su napravljene", što je nevjerojatno široko. "" Dobra vjera "pokriva mnogo dobronamjernih šteta, ali SIIA-in LeDuc tvrdi da postoji proces. "Pojedinačni građani ne gube sposobnost tužiti ili iskoristiti sudove za ispravak", kaže on. "Svaki slučaj u kojem je neka tvrtka pronađena da ne djeluje u" dobroj vjeri "vjerojatno bi bila odgovorna za štetu pojedincu." Reitman iz EFF-a kaže da bi poklopac "dobre vjere" mogao lako ići daleko. Zaštićene od odgovornosti, tvrtke mogu slobodnije dijeliti više podataka. Na primjer, kaže Reitman, "Netflix je mogao dati vladi popis imena, brojeva kreditnih kartica, kućnih adresa i aktivnosti računa za sve one koji su gledali film

Hakeri

tijekom tri tjedna koji su doveli do Netflixa "CISPA trenutno osigurava civilni nadzor nad dijeljenjem podataka putem Odjela za domovinsku sigurnost i druge subjekte, ali ako se podaci zatim prenesu u vojnu jedinicu, nadzor završava."

"Nikada ne bismo nikad znaju što su učinili s tim podacima ", kaže Reitman. "Mislimo da to ne bi bilo u dobroj vjeri, ali korisnicima bi bilo teško otkriti i kasnije dokazati."

CISPA možda neće biti daleko

Ovo je drugi pokušaj CISPA-a da dobije odobrenje Senata i njegov uspjeh nije daleko od izvjesnosti - pogotovo s obzirom na jasnu jasnu izjavu predsjednika da veto CISPA u svom sadašnjem obliku. Iako nikakav zakon nije savršen, protivnici ukazuju na neodređenost i praznine CISPA-e kao igrače. ACLU-ov Richardson kaže: "Ljudi govore o Kini koji razbija i kradu intelektualno vlasništvo. Ako su o tome napisali račun, imali bi manje pritužbi. CISPA je širok i osvaja puno svakodnevnih aktivnosti. " CISPA pokazuje kompliciranu vezu između online privatnosti i cybersecurity napora. Senatori također pripremaju alternativne zakone o zaštiti cybersecurity-iako to nije funkcioniralo prošle godine, bilo, Senator John D. (Jay) Rockefeller (D-Zapadna Virginija) sponzorira Zakon o Cybersecurity i American Cyber ​​Competitiveness iz 2013. godine (kao i sličan napor koji je 2012. zakačen). U priopćenju objavljenom nakon glasovanja o Domu o CISPA-u Senator Rockefeller izjavio je: "Današnja akcija u domu je važna, čak i ako je zaštita privatnosti CISPA-e nedostatna. Trebamo akciju na svim elementima koji će ojačati našu sigurnost u cyberseciji, a ne samo jedan, i to će postići Senat. "Došlo je ranije ovog tjedna, izjavio je senator Dianne Feinstein (D-California), ko-sponzor istog zakona., "Trenutno sastavljamo dvobrojni račun za dijeljenje informacija i nastavit ćemo čim postignemo dogovor."

Račun stoga ističe složenu vezu između mrežne privatnosti i cyber-sigurnosnih napora. Richardson iz ACLU-a vjeruje da će CISPA potaknuti Senat da pronađe bolje rješenje. "Svi drugi u ovoj igri gledaju na nešto ciljanijih i strateških i zaštićenih privatnošću." Nedovršeni odgovor je vani negdje, nadamo se s jednakom zaštitom malog čovjeka kao što se čini za velike podatke.