Kritikere: CISPA fremdeles en regjeringstilsynsregning

En representant for det amerikanske forsamlingshuset klarte ikke å gjøre de nødvendige endringene for å unngå frykt for statlig overvåking i en kontroversiell nettbasert delingsregning som beveger seg mot en House-stemme, sier kritikere.

The House Intelligence Committee, ved å stemme 18-2 onsdag for å godkjenne lov om deling og beskyttelse av cyber intelligens (CISPA), tok ikke forbehold om at regningen ville tillate private selskaper å dele for mye kundeinformasjon med myndigheter i navnet til å bekjempe cyberangrep, digitale rettighetsgrupper sa.

Komiteens ledere forventer at hele huset skal stemme på CISPA så snart som i neste uke.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC]

"Cyberhackere fra nasjonalstater som Kina, Russland og Iran infiltrerer amerikanske nettverksnettverk, stjeler milliarder dollar om året i intellektuell eiendom, og undergraver den teknologiske innovasjonen i hjertet av Amerikas økonomi," komiteens leder Mike Rogers, en Michigan republikansk og cosponsor av regningen, sa i en uttalelse. "Denne regningen tar et solid skritt mot å hjelpe amerikanske bedrifter til å beskytte deres nettverk fra disse cyberpremiere." Men de digitale rettighetsgruppene sa at regningen fortsatt har store feil. "Endringene som ble tilbudt i løpet av den lukkede dørmarkeringen, gjør ingenting for å takle de spesifikke bekymringene vi har uttrykt om regningen i flere måneder," sa Evan Greer, kampanjeforvalter ved Digital Rights Group Fight for the Future. regningen vil tillate private selskaper å dele et bredt spekter av kundeinformasjon de anser for å være relatert til cyberthreats med amerikanske byråer som National Security Agency, sa Greer i en epost.

"Utgaven av CISPA som gikk ut av komiteen i går har flere endringer som gjør at det virker bedre på overflaten, men gjør ingenting for å takle den grunnleggende feilen med regningen, noe som gjør at det fortsatt gjør det mulig å dele massive mengder privatbrukerdata med hemmelige byråer, sier han. "Det gir fortsatt feiende juridiske beskyttelser for selskaper som deler våre data."

Hvis CISPAs sponsorer ikke vil at det skal være en overvåkningsregning, bør de gjøre ytterligere endringer, legger Greer til. "Hvis det er sant, er det en enkel løsning: skriv det inn i regningen," la han til.

Sponsorer og noen andre lovgivere forsvarte regningen og sa at det gir betydelige personvernbeskyttere. Utvalget aksepterte et endringsforslag fra representant Jim Langevin, en Rhode Island Democrat, som forbyder selskaper å motvirke eller hacking tilbake mot cyberangrepere etter at digitale rettighetsgrupper reiste bekymringer for at regningens språk kunne tillate slik aktivitet. Langevin roste regningen, sier at det er behov for mer nettopp informasjonsdeling, men han foreslo også at CISPA "ikke er en endelig løsning på cybersikkerhet." "Mens [regningen] lover å forbedre situasjonsbevisstheten, vil ikke kun deling av informasjon tillate oss å forhindre hver eneste angrep, "sa han i en uttalelse. "Vår mest sårbare og verdifulle infrastruktur må oppfylle minstekrav til cybersikkerhet for å minimere risikoen for en stor cyberattack som kan forlate millioner uten strøm eller trygt drikkevann i lengre tid."

Et annet endringsforslag godkjent av komiteen ville begrense den private sektors bruk av all informasjon om cybersikkerhet mottatt til bare bruk av cybersecurity. Noen digitale rettigheter og personvernsgrupper hadde tvil om hvorvidt regningen ville tillate at selskaper bruker informasjonen om cyberthreat som de mottar til andre formål.

Utvalget fjernet også språket fra regningen slik at regjeringen kunne bruke data samlet inn under CISPA "for nasjonal sikkerhet formål ", i et forsøk på å begrense regjeringens bruk av informasjonen.

Men Greer spurte om det var en betydelig forbedring. Endringen er "ikke en ekte løsning," sa han. "Begrepet" cybersecurity "er så dårlig definert i regningen at det ikke gir meningsfulle begrensninger på hva som kan gjøres med dataene som er samlet."

Sponsorer av regningen sa at den inneholder flere personvernbeskyttelser. CISPA forbyder regjeringen å tvinge private enheter til å gi informasjon til regjeringen, og oppfordrer de private selskapene til å "anonymisere" eller "minimere" den informasjonen de frivillig deler med regjeringen, sier sponsorer.

Regningen tillater også enkeltpersoner å saksøke den føderale regjeringen for personvernskader, kostnader og advokatkostnader i føderale domstole, og det krever en årlig gjennomgang av informasjonsdelingsprogrammet av etterretningsforetaksinspektøren generelt. CISPA vil solnedgang om fem år.

Likevel, representant Adam Schiff, en California-demokrat, sa at han var skuffet over at komiteen avviste sitt endringsforslag som ville ha krevd at selskaper skal gjøre en rimelig innsats for å fjerne urelatert privat informasjon fra den cyberthreat-informasjonen de deler.

"Det er ikke for mye å be om at selskapene sørger for at de ikke sender privat informasjon om sine kunder, deres kunder og deres ansatte til etterretningstjenester, sammen med ekte informasjon om nettverkssikkerhet," sa han i en uttalelse.

Blant gruppene som sto støtte for regningen var BSA og Software and Information Industry Association, begge programvarehandelsgrupper. CISPA ville "gi det kritiske nødvendige rammeverket for tidlig påvisning og varsling av trusler mot cybersikkerhet," sa SIIA.