CISPA faturası Senatoda

Güncelleme: ABD Haberleri, Perşembe günü, ABD Senatosu Ticaret, Bilim ve Ulaştırma Komisyonu'nun bir temsilcisinin yaptığı yorumları gerekçe göstererek CISPA'nın "neredeyse kesinlikle rafa kaldırılacağını" bildirdi. US News ayrıca ACLU'yla yaptığı yasal danışman Michelle Richardson'a şunları söyledi: "Bence şu an için ölmüşüm. CISPA çok tartışmalı, çok geniş, bu sadece geçen sene Senato tarafından tasarlanan programın aynısı değil." Richardson, yeni yasaların bir oylamaya gelmesinin birkaç ay alabileceğini tahmin ediyor.

Siber güvenlik ve çevrimiçi gizlilik, asla bir araya gelmeyecek gibi görünen iki kritik çıkar. Elbette, kötü niyetli bilgisayar korsanlarının, spam yapanların ve diğer İnternet kısıntılarının adalete teslim edilmesini istiyorsunuz - ancak siz de çevrimiçi verilerinizi korumak istiyorsunuz.

Siber suçlarla mücadelenin büyük bir kısmı, haystack'ın toplu çevrimiçi verilerinin toplanmasını gerektiriyor. şüpheli bir etkinliğin zor bir iğnesi için tarama. Çevrimiçi verileriniz bu yığınlardan birine süpürüp taranabilir. Yolda ona ne olduğu tahmin ediliyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır] Siber güvenliğin nasıl çalıştığını anlamanın ilk adımı, çevrimiçi verilerinizin taranacağını kabul etmektir - ve zaten

Bu yüzden, geçen hafta ABD Temsilciler Meclisi'nden geçen ve şu anda komitenin bulunduğu Senato tarafından göz önüne alınan Siber İstihbarat Paylaşımı ve Koruma Yasası'na (CISPA) göz kulak olmak isteyeceksiniz.. CISPA siber güvenlik araştırmacıları arasında veri paylaşımını yöneten kısıtlamaları gevşetmeyi amaçlamaktadır. Bu yeterince mantıklı gelebilir, ancak verilerin nasıl ele alındığı, özellikle nasıl paylaşıldığının ve kişisel olarak nasıl tanımlanabilir bilginin (PII) en aza indirildiği konusunda tartışmalar ortaya çıkıyor.

Ayrıca, yasa tasarısı, davalardan yüksek düzeyde bir dokunulmazlık yaratıyor. Verileri paylaşan hükümet ve özel şirketler için. Verilerinizi paylaştıklarında bu tam olarak rahatlık duymuyor.

Verileriniz tarandığında ve paylaşılınca değil.

Siber güvenliğin nasıl çalıştığını anlamanın ilk adımı, çevrimiçi verilerinizin zaten taranmakta olduğunu kabul etmektir.. Hükümet, yasa uygulayıcılar ve özel şirketler şüpheli görünen İnternet etkinliğinin peşinde. Twitter gibi sitelere spam gönderenler, botnet'ler ve kötü niyetli saldırılar, çok geniş bir siber suç kategorisine girer. Daha da büyük kaygılar, “kritik altyapıya” (örneğin, enerji ve su şebekeleri ve iletişim ağları gibi) veya sivillere saldırmaya yönelik girişimlerdir.

CISPA, özel şirketlerin "siber tehdit bilgisi" olarak kabul edilen verileri paylaşmasına izin verecektir.

CISPA, verilerin yasaların çözülmesine yardımcı olabilecek “siber tehdit bilgisi” olarak adlandırdığı veriler olduğunda, özel şirketlerin yasa uygulayıcı yetkilileri ve devlet kurumları ile veri paylaşmasına izin verecektir. Bu terimin belirsizliği, gizlilik sorununun büyük bir parçası, diyor Elektronik Gizlilik Bilgi Merkezi'nde ulusal güvenlik görevlisi olan Jeramie Scott. Scott şöyle açıklıyor: “Tanımlamak için özel sektöre bırakılan tanımında“ bir ağa karşı hassasiyet ”ve“ bir ağın bütünlüğüne yönelik tehdit ”terimlerini kullanıyor,” diyor.

CISPA'nın belirsizliği, özel şirketlere bilgi paylaşımı için çok fazla sallanan oda verir. Scott, “Bir sosyal paylaşım sitesi bir hizmet reddi saldırısı yaşadığını söylüyor. “Site yalnızca daha ilgili tanı bilgilerini hükümete sunabiliyordu, ancak aynı zamanda etkilenen tüm profiller hakkında kişisel bilgileri de verebiliyordu - örneğin kiminle bağlı olduğunuzu, ve profil biyo ayrıntılarını da içeren - Sosyal ağ, 'siber tehdit bilgisinin bilgi bölümünü' kabul etti. ”

Amerikan Sivil Özgürlükler Birliği'nin yasama danışmanı Michelle Richardson'a göre, Nijerya'dan aldığınız her aptal spam, daha fazla araştırma için verilerinizi adil bir hale getirebilir. Richardson, “Bunlar, fatura altındaki siber güvenlik olayları olan günlük olaylardır” diyor. Electronic Frontier Foundation'daki aktivizm müdürü Rainey Reitman, bir servisin “siber tehdit bilgisi” olarak gördüğü herhangi bir veriyi paylaşabileceğini ve bunu “iyi niyet” ve “bir şey için” olduğu sürece “yasal süreç olmaksızın” yapabileceğini söylüyor. siber güvenlik amacı. '”

Veri paylaşımı daha kolay veya otomatik olacak

ACLU’nun Richardson’ı, CISPA’ya göre veri paylaşımının sorunsuz ve sorunsuz olacağını söylüyor. Hükümetin özel olarak bilgi talep ettiği bir süreçten geçmek yerine, “onlar hükümete bir şeyler iletmeyi otomatik olarak gerçekleştirecek bir süreçten söz ediyorlar” diyor Richardson.

Eğer veriler otomatik olarak yönlendirilecekse, PII'nin veriden ne zaman ve nasıl sıyrıldığı daha büyük bir sorun haline gelir. Ne yazık ki, hiç kimse kullanıcı kimliklerini tamamen anonim hale getirmekten bahsetmiyor. Hayır, CISPA'nın arkasındaki insanlar sadece “minimizasyon” ile tatmin olurlar -PII'yi kaldırmak için makul bir çaba harcarlar. İşte, “siber tehdit bilgisinin” tanımının bir kez daha devreye girdiği yer, EPIC'in Scott şöyle diyor: “CISPA, [özel bir şirket], geniş bir şemsiye altına düştüğü sürece hükümete verilen bilgileri kaldırmak veya başka şekilde daraltmak zorunda değil. siber tehdit bilgisinin. ”

Güvenlik uzmanları, kişisel bilgilerde değil, trendleri, belirli davranışların yaygınlığını ve kötü amaçlı yazılım için yayılma kalıplarını araştırıyor. -David LeDuc, SIIA

Sağlayıcı firmaların paylaştıkları verilerden PII'yi çıkarmaları mantıklı görünmekle birlikte, CISPA kapsamında bu görev hükümete düşüyor. David LeDuc, CISPA'yı destekleyen yazılım geliştiricileri ve dijital içerik işletmelerini temsil eden büyük bir ticaret grubu olan Yazılım ve Bilgi Endüstrisi Derneği'nin kamu politikası üst düzey direktörüdür. LeDuc, siber güvenlik konusunda PII'nin önemini küçümsüyor ve bunun, profesyonellerin siber suçlarla savaşmakla ilgilenmediğini söylüyor. “Güvenlik uzmanları eğilimleri araştırıyor,” diyor, “kişisel davranışlarda değil, kötü amaçlı yazılımlar için belirli davranışların ve yayılma paternlerinin yaygınlığı” diyor.

LeDuc ayrıca, CISPA'nın hükümete dayalı en aza indirmeyi yapmak için isteğe bağlı hale getirildiğini belirtti. zorunlu. “Federal hükümet, siber tehdide cevap vermek için gerekli olmayan özel kişiler hakkında bilgi almak için özel sektörden aldığı bilgileri en aza indirgemeli” diyor.

Ancak, bu değişiklik ne olacağı sorusunu ele almıyor. özel şirketler arasında paylaşılan veriler. Sadece devletin CISPA kapsamındaki Kİİ'leri en aza indirgeme işine sahip olduğundan, özel şirketler, en az düzeyde bir zarara uğramadan çaba sarf etmeksizin kendi aralarında göreceli olarak daha zengin bilgiler paylaşabilirler. Temsilci Adam Schiff (D-California), CISPA'da House oylamasından önce konuşmasında, onaylanmamasını açıkça ortaya koydu. “Özel tüzel kişiler, hiçbir zaman hükümete girmeden birbirleriyle bilgi paylaşabilirler” dedi. “Bu şartlarda, hükümet asla sahip olmadıklarını nasıl en aza indirebilir? Bu yüzden, bu tasarıda yer alan hükümetin tek başına en aza indirilmesi yeterli değildir. ”Dedi.

Kongre Üyesi Schiff, bu boşluğa değinmek için bir değişiklik getirmişti, ancak CISPA'nın sponsorlarının bir oylama için House'dan önce getirmediği konusunda şikayetçi oldu.

Özel şirketler neye önem veriyor: davalar

Tüm bu paylaşma ve en aza indirgeme konuşmasının altında, CISPA'nın gerçekten neye benzediğini görmek, verilerin bu şekilde dava edilmesini sağlayan şirketleri korumaktır. Tüketicilerin CISPA'yı tanıması için en önemli şeyin ne olduğu sorulduğunda SIIA'nın LeDuc, sorumluluk risklerinin siber güvenlik çabalarını engellediğini söyledi. “Ne yazık ki, mevcut yasal çerçeve, şirketler veya herhangi bir özel kuruluşlar altında, siber güvenlik tehdidinin veya olayın önlenmesi veya hafifletilmesi için değerli olabileceğine inandıkları bilgileri paylaşmak için yasal veya yasal işlem riskiyle karşı karşıyadır” diyor.

Çoğumuzun bizi ısırmak için gelmediği sürece, verimizin kullanılmadığı veya yanlış kullanıldığına dair bir fikrimiz olmayacak.

Dava konusu olma ihtimali biraz tuhaf. Her şeyden önce, bu büyük veri tarama çabalarıyla, çoğumuz bizi ısırmaya geri dönmedikçe, verilerimizin kullanılıp kullanılmadığına dair bir fikrimiz olmayacaktır. Ancak bu olsaydı, yasal başvuru için bir süreç olması güzel olurdu. Yine, CISPA'nın belirsiz dili, gizliliği korumak için zorlaştırıyor. ACLU’nun Richardson’ı şöyle diyor: “Sadece paylaşabileceğin bir şey değil, paylaşılan bilgilere dayanarak verdiğiniz kararlar da aşılandı. Aslında bu terim, 'kararlar', 'son derece geniş' kullanırlar. ”

'İyi niyet', çok iyi niyetli bir hasarı kapsar

Fakat SIIA'nın LeDuc'u bir süreç varlığında ısrar ediyor. “Bireysel vatandaşlar, mahkemelere tazminat davası açma veya kullanma kabiliyetlerini yitirmiyor” diyor. “Bir şirketin“ iyi niyet ”le hareket etmediği tespit edilen herhangi bir durum, muhtemelen bir kişiye zarar vermekten sorumlu olacaklardır.”

EFF Reitman, “iyi niyet” in örtüsünün de kolayca gidebileceğini söylüyor. uzak. Sorumluluktan korunan şirketler daha fazla veriyi daha özgürce paylaşabilirler. Örneğin, Reitman, “Netflix, Netflix'e giden üç hafta boyunca filmi

Hackers 'u izleyen herkesin adlarına, kredi kartı numaralarına, ev adreslerine ve hesap etkinliğine bir liste verebilirdi. Hafif bir DDOS saldırısı çekiyor. ”CISPA şu anda Anavatan Güvenliği ve diğer kurumlar aracılığıyla veri paylaşımının sivil gözetimini sağlıyor, ancak veriler daha sonra askeri bir tarafa geçiyorsa, gözetim sona erer. Bu verilerle ne yaptığını biliyoruz ”diyor Reitman. “Bunun iyi niyetle olacağını düşünmüyoruz, ancak müşterilerin keşif yapması ve daha sonra bunu kanıtlaması zor olacaktır.”

CISPA,

'dan çok uzak olamaz. Bu, CISPA'nın Senato onayını kazanmaya yönelik ikinci girişimi ve Başarısı, Başkan'ın açıkça ifade ettiği ve halihazırdaki haliyle CISPA'yı veto etme niyetinin göz önünde bulundurulduğu ölçüde, kesin olmaktan çok uzaktır. Herhangi bir mevzuat parçası olmamasına rağmen, rakipler CISPA'nın belirsizliğini ve boşluklarını oyun tutucular olarak işaret ediyor. ACLU’nun Richardson’ı “İnsanlar Çin’e girip fikri mülkiyeti çalıyorlar. Bununla ilgili bir fatura yazmışlarsa, daha az şikayetimiz olurdu. CISPA geniş bir yelpazeye yayılıyor ve günlük faaliyetlerin çoğunu artırıyor. ”

CISPA, çevrimiçi gizlilik ve siber güvenlik çabaları arasındaki karmaşık savaş savaşını gösteriyor.

Senatörler de geçen sene çalışmayan alternatif siber güvenlik mevzuatı hazırlıyorlar.. Senatör John D. (Jay) Rockefeller (D-West Virginia) 2013'ün Siber Güvenlik ve Amerikan Siber Rekabetçilik Yasası'na sponsor oldu. CISPA'da House oylamasından sonra yayınlanan basın açıklamasında, Senatör Rockefeller, “CISPA'nın gizlilik korumaları yetersiz olsa bile, bugünkü House'daki eylem önemlidir. Siber güvenliğini güçlendirecek tüm unsurlar üzerinde harekete ihtiyacımız var, sadece bir tane değil, Senato'nun elde edeceği şey bu. ”Bu haftanın başlarında, aynı yasa tasarısının eş sponsorlarından biri olan Senator Dianne Feinstein (D-California) 'a ulaştı. “Şu anda iki partili bir bilgi paylaşım faturası hazırlıyoruz ve bir anlaşmaya varır varmaz devam edeceğiz.”

Göründüğü üzere tasarlanan yasa, çevrimiçi gizlilik ve siber güvenlik çabaları arasındaki karmaşık savaş çekişini gösteriyor. ACLU'nun Richardson, CISPA'nın daha iyi bir çözüm bulmak için Senato'ya ilham vereceğine inanıyor. “Bu oyundaki herkes daha hedefe yönelik ve stratejik ve gizliliğe karşı korunan bir şeye bakıyor.” Kusurlu cevap, bir yerde, küçük insan için büyük veri için olduğu kadar çok koruma sağladığı umudunu taşıyor.