Car-tech

Opinion: CISPA er ikke den onde, personvernkrenkende lovgivningen du tror det er

CISPA-Copenhagen International school of Preforming Arts

CISPA-Copenhagen International school of Preforming Arts

Innholdsfortegnelse:

Anonim

Et regning som ville fremme sterkere nettverkssikkerhet ved at offentlige og private selskaper kan dele informasjon, står overfor motstand fra personvern og sivile frihetsgrupper. Kontroversen er imidlertid misvisende, og lovgivningen er et skritt i riktig retning.

CISPA, eller Cyber ​​Intelligence Sharing and Protection Act, ble introdusert i fjor av rangerte medlemmer av House Permanent Select Committee on Intelligence-Mike Rogers (R-MI) og nederlandsk Ruppersberger (D-MD). Lovgivningen har som målsetting å etablere et rammeverk for offentlige og private selskaper for å dele sensitiv informasjon i arbeidet med å identifisere og blokkere cyberangrepene mer effektivt.

CISPA gjorde det først gjennom senatet, opprettholdt av støtte fra et stort antall high- tech selskaper som AT & T, Comcast, Oracle, Symantec og Microsoft. Det døde senere på vintreet, men over bekymringer for storebror spionere på amerikanske borgere. Men nå er det igjen: Siste måned har kongressens sponsorer oppstått regningen som følge av høyprofilerte angrep mot amerikanske mål i løpet av det siste året.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

CISPA er ment å styrke nettverkssikkerheten, ikke spionere på amerikanske borgere
.

CISPA-tilbakeslaget

Ja, regningen er tilbake, men CISPA har ikke blitt mer populær siden i fjor. EFF (Electronic Frontier Foundation), ACLU (American Civil Liberties Union) og andre personvernsforsikringsgrupper er rettet mot å motsette seg lovgivningen igjen. I tillegg har Facebook, en opprinnelig tilhenger av lovgivningen, bare opphevet sin støtte denne uken.

ACLU delte med meg et brev som ble sendt til kongressmedlemmer Rogers og Ruppersberger på vegne av en koalisjon av berørte organisasjoner. Brevet uttrykte alvorlige forbehold med CISPA, og påpekte at det ikke var opprettet sivil kontroll over informasjonsdelingsprogrammet. unnlatelse av å kreve at private organisasjoner fjerner personlig identifiserbar informasjon fra data som deles med regjeringen; og manglende sikring av beskyttet beskyttelse av informasjonen som deles.

Kurt Opsahl, senioransatt advokat med EFF, forklarte: "Mandiant-rapporten viser hvor mye nyttig informasjon som kunne deles uten ny regning … Problemene [med denne regningen] er grunnleggende, og sannsynligvis for dyp for å fikse med et kompromiss. "

Men er tilbakeslaget berettiget?

Den 16. april 2012 var en endring av regningen rettet mot å håndtere privatlivets bekymringer. Det var spørsmål om terminologi, slik at endringen klargjør hva som menes med "informasjon om cybertrussel" for å sikre en smalere tolkning som ikke inkluderer "intellektuell eiendom".

Noen uttrykte bekymringer for at regningen ville gi ISPs eller tjenesteleverandører tillatelse til å blokkere kontoer eller fjern innhold. Som svar angir endringen at lovgivningen er begrenset til å identifisere, skaffe og dele informasjon om informasjon om cybertrussel, og uttrykker uttrykkelig at regningen ikke gir noen myndighet til å blokkere kontoer eller slette informasjon.

Endringen adresserer viktige personvernspørsmål. Det forhindrer all informasjon som er oppnådd fra å bli brukt til noe annet formål enn intelligenssamlingen den var ment for, og gjør det mulig for den amerikanske regjeringen å bli saksøkt hvis informasjonen som er oppnådd, brukes på måter som bryter med begrensningene på regningen. Endringen gir også USAs advokatkontor tilsyn for å overvåke aktiviteten under CISPA og sikre privatliv

Microsoft delte med meg sin offisielle uttalelse om CISPA, som samtidig understreker privatlivets bekymringer, men anerkjenner også at det er gjort fremskritt, og innebærer Microsofts støtte til de underliggende målene for CISPA:

"Microsoft mener at enhver foreslått lovgivning bør lette frivillig deling av informasjon om nettbasert trussel på en måte som gjør at vi kan respektere personvern- og sikkerhetsloveriene vi gjør for våre kunder. Lovgivningen introdusert i midten av februar gjenspeiler viktige endringer som følge av en aktiv og konstruktiv dialog om en tidligere versjon av regningen, og at dialogen må fortsette. Vi gleder oss til å fortsette å samarbeide med beslutningstakere og andre for å forbedre nettverkssikkerheten samtidig som vi beskytter forbrukerens personvern. "- Scott Charney, konserndirektør, pålitelig databehandling

Hvorfor CISPA?

I slutten av februar på RSAs sikkerhetskonferanse, jeg satte seg sammen med sponsorrepresentanter, Rogers og Ruppersberger. Rogers forklarte motivasjonen bak å støtte regningen igjen. "Mengden rikdom som er blitt overført fra USA til steder som Kina, er fantastisk og farlig," sa han.

Rogers og Ruppersberger mener at hvis USAs etterretningsorganer kunne dele klassifisert informasjon med privat sektor, da Sikkerhetsindustrien og private selskaper vil være bedre bevæpnet til å forsvare seg. På samme måte kan intelligenssamfunnet også ha nytte av private selskaper som deler det de vet om angrep med regjeringen.

Toveis deling av informasjon er viktig for å se de store Faktisk kan informasjonstildeling etter operasjon Aurora-angrep mot Google og andre organisasjoner gi et solidt eksempel på hvor effektiv en slik deling kan være. Hvert selskap kan kanskje vite at noe mistenkelig skjer, men kanskje bare se ett stykke av puslespillet. Ved å sammenligne notater med andre selskaper og etterretningsorganer, kan brikkene være lok ked sammen for en mer fullstendig oppfatning av angrepet.

Målet, ifølge Rogers, er å takle informasjonsdeling på en måte som har bred, tosidig støtte og innkjøp fra sentrale interessenter i både regjeringen og privat sektor. Kongressens supportere mener at CISPA er den beste måten å gi regjeringen og den private sektoren de nødvendige verktøyene for å oppdage sofistikerte angrep, og ivareta avanserte, vedvarende trusler.

Hvorfor nå?

Rogers og Ruppersberger re-sendt CISPA etter President Obamas unionsstat adresse, der han ringte for å beskytte nasjonen mot cyberangrep. Har noe endret seg i regningen som skiller det fra versjonen som ble skutt ned? Nei, ingenting har forandret seg.

Ruppersberger forklarte at han og Rogers begge er medlemmer av "Gruppen av Åtte", en gruppe av valgte embetsmenn som får tilgang til nøkkelinformasjonsinformasjon, og som er informert om nasjonale sikkerhetsspørsmål som også anses sensitive for å bli delt bredere med resten av kongressen. Han sa at han ofte blir spurt om hva som holder ham våken om natten, og et av hans toppresponser er "cyberangrep".

Vi må gjøre noe for å stoppe sensitive og proprietære data fra å bli stjålet.

Men hvorfor sende inn samme lovgivning igjen? Ruppersberger sa at trussel landskapet har endret seg siden i fjor, og det er mer støtte nå for hva de prøver å oppnå med CISPA. "Vi blir utsatt, og disse angrepene blir mer aggressive - Washington Post, New York Times, Wall Street Journal, jeg mener Treasury Department, og det fortsetter … Aramco, 30.000 datamaskiner slått ut. De ble mye mer aggressive. "

Forflytting

En kritikk av regningen handler om hvor mye informasjon private selskaper vil dele med regjeringen. CISPA-motstandere vil at ulike typer data skal fjernes eller minimeres før de sendes til regjeringen, men private selskaper vil ikke ha den ekstra byrden av å forsøke å sile gjennom data før de deler det.

Ruppersberger forklarte at NSA allerede har verktøy og teknologi for å minimere dataene når regjeringen mottar det, og at dette er et problem han mener kan bli gjennomført. Noen av de andre problemene knyttet til CISPA er et spørsmål om jurisdiksjon. Rogers og Ruppersberger ser verden gjennom linsen til House Permanent Select Committee on Intelligence, og de har laget lovgivningen for å løse problemene de ser innenfor denne komiteens omfang.

Så hvor er vi nå? Lovgivningen må nå gå gjennom oppslag og komme gjennom komiteen før den selv har mulighet til å bli stemt om. Så det er fortsatt tid til å jobbe gjennom saker og forhandle kompromisser for å løse eventuelle gjenværende bekymringer.

CISPA krever en tøff balansehandling, men det er avgjørende for USAs økonomiske og nasjonale sikkerhetsinteresser at vi takler trusselen om nettangrep. Verken regjeringen eller den private næringen kan takle problemet alene, slik at lovgivningen som CISPA er nødvendig for å lette den form for deling og samarbeid vi trenger.

Synspunktene som er uttrykt i denne artikkelen, er kolonnistene, og ikke nødvendigvis de av PCWorld.