Windows

Het is privacy versus cyberveiligheid nu de CISPA-factuur binnenkomt in de Senaat

CS50 Lecture on Cybersecurity: How to Keep Your Computer and Phone Secure (pre-release)

CS50 Lecture on Cybersecurity: How to Keep Your Computer and Phone Secure (pre-release)

Inhoudsopgave:

Anonim

Update: op donderdag meldde US News dat CISPA "vrijwel zeker in de ijskast zal komen", daarbij verwijzend naar opmerkingen van een niet-benoemde vertegenwoordiger van de Amerikaanse Senaatscommissie voor handel, wetenschap en transport. US News citeerde ook Michelle Richardson, juridisch adviseur bij de ACLU, die zei: "Ik denk dat het voor nu dood is. CISPA is te controversieel, het is te ruim, het is gewoon niet hetzelfde soort programma dat de senaat vorig jaar overwoog." Richardson schat dat het enkele maanden kan duren voordat nieuwe wetgeving tot stemming komt.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert] De eerste stap om te begrijpen hoe cyberbeveiliging werkt, is accepteren dat uw online gegevens worden gescand - en al bezig zijn gescand. Daarom wilt u de Cyber ​​Intelligence Sharing and Protection Act (CISPA) in de gaten houden, die vorige week het Amerikaanse huis van afgevaardigden heeft gepasseerd en nu wordt overwogen door de senaat, waar het momenteel in de commissie zit. CISPA heeft tot doel om de beperkingen die momenteel gelden voor het delen van gegevens tussen cybersecurity-onderzoekers te versoepelen. Dat klinkt misschien redelijk genoeg, maar de controverse doet zich voor over hoe de gegevens worden behandeld, met name hoe deze worden gedeeld en hoe persoonlijk identificeerbare informatie (PII) wordt geminimaliseerd. Bovendien zorgt de wetsvoorstel voor een hoge mate van immuniteit tegen rechtszaken voor de overheid en particuliere bedrijven die gegevens delen. Dit is niet bepaald geruststellend wanneer ze uw gegevens delen.

Wanneer, niet als, uw gegevens worden gescand en gedeeld

De eerste stap om te begrijpen hoe cybersecurity werkt, is accepteren dat uw online gegevens al worden gescand. Overheid, rechtshandhaving en particuliere bedrijven zijn allemaal op zoek naar verdachte internetactiviteiten. Spammers, botnets en kwaadwillende hacks op sites als Twitter vallen in een brede categorie van cybercriminaliteit. Van nog grotere zorg zijn pogingen om "kritieke infrastructuur" (zoals stroom- en waterhulpprogramma's en communicatienetwerken) of burgers aan te vallen. CISPA zou private bedrijven gegevens laten delen die als "informatie over cyberdreigingen" worden beschouwd.

CISPA zou private bedrijven gegevens laten delen met wetshandhavingsfunctionarissen en overheidsinstanties als de gegevens kwalificeren als wat de factuur 'informatie over cyberdreigingen' noemt die kan helpen bij het oplossen van een misdrijf. De vaagheid van die term is een groot deel van het privacyprobleem, zegt Jeramie Scott, nationale beveiligingsbeambte bij het Electronic Privacy Information Center. "Het gebruikt begrippen als 'kwetsbaarheid voor een netwerk' en 'bedreiging voor de integriteit van een netwerk' in zijn definitie die aan de particuliere sector worden overgelaten om te interpreteren," zegt Scott.

Definities met gegevens zijn vaag genoeg om uitrusten uit te nodigen

De vaagheid van CISPA geeft particuliere bedrijven veel bewegingsruimte om informatie te overzien. "Stel dat een sociale netwerksite lijdt onder een denial-of-service-aanval," zegt Scott. "De site zou alleen de relevantere diagnostische details kunnen bieden aan de overheid, maar deze zou ook de persoonlijke informatie kunnen verschaffen over alle betrokken profielen, inclusief bijvoorbeeld met wie u verbonden bent en biografische gegevens kunnen profileren, zolang de sociaal netwerk beschouwd als het informatiedeel van de 'cyber threat information.' "

Volgens wetgevende raad Michelle Richardson van de American Civil Liberties Union, kan elke domme spam die je van Nigeria ontvangt, je data fair-game maken voor verder onderzoek. "Dit zijn alledaagse gebeurtenissen die cyberbeveiligingsevenementen zijn onder de rekening", zegt Richardson. Rainey Reitman, activisme directeur van de Electronic Frontier Foundation, zegt dat een dienst alle gegevens zou kunnen delen die zij "informatie over cyberdreigingen" zou vinden en dat zou kunnen "zonder juridisch proces, zolang het in 'goede trouw' is en voor een ' cybersecurity doel. '"

Het delen van gegevens wordt eenvoudiger - of automatisch

De ACLU Richardson voegt eraan toe dat onder CISPA het delen van gegevens soepel zal verlopen - echt soepel. In plaats van door een proces te gaan waarin de overheid specifiek om informatie vraagt, "hebben ze het over een soort proces dat automatisch dingen doorstuurt naar de overheid", zegt Richardson.

Als gegevens automatisch worden gerouteerd, wanneer en hoe PII van de gegevens wordt ontdaan, wordt een groter probleem. Helaas heeft niemand het over het volledig anoniem maken van gebruikersidentiteiten. Nee, de mensen achter CISPA zijn tevreden met louter "minimalisatie" - een redelijke poging doen om PII te verwijderen. Hier komt de definitie van "informatie over cyberdreigingen" opnieuw in het spel, aldus EPIC's Scott: "CISPA vereist [een particulier bedrijf] niet om de informatie die aan de overheid wordt verstrekt te verwijderen of anderszins te verkleinen, zolang deze onder de brede paraplu valt van informatie over cyberdreigingen. "

Beveiligingsexperts zoeken naar trends, de prevalentie van bepaald gedrag en propagatiepatronen voor malware, niet naar persoonlijke informatie. -David LeDuc, SIIA

Hoewel het logisch lijkt voor het verstrekkende bedrijf om PII te ontdoen van de gegevens die zij delen, valt onder CISPA die taak bij de overheid. David LeDuc is senior director van het openbare beleid voor de Software & Information Industry Association, een belangrijke handelsgroep die softwareontwikkelaars en bedrijven voor digitale inhoud vertegenwoordigt en die CISPA ondersteunt. LeDuc onderlijnt het belang van PII in cybersecurity en zegt dat het niet is wat professionals interesseert in het bestrijden van cybercriminaliteit. "Beveiligingsexperts zoeken naar trends," zegt hij, "de prevalentie van bepaald gedrag en propagatiepatronen voor malware - niet naar persoonlijke informatie." LeDuc wijst er ook op dat CISPA is gewijzigd van het maken van op de overheid gebaseerde minimalisatie optioneel in het maken van het is verplicht. "De federale overheid moet de informatie die zij van de privésector ontvangt minimaliseren om informatie over specifieke personen te achterhalen die niet nodig zijn om te reageren op een cyberdreiging," zegt hij.

Dit amendement gaat echter niet in op de vraag wat er gebeurt met gegevens gedeeld tussen particuliere bedrijven. Omdat alleen de overheid de taak heeft om PII onder CISPA te minimaliseren, kunnen privébedrijven onderling relatief PII-rijke gegevens delen zonder zich in te spannen voor minimalisering. In zijn stem vóór de stemming van het Huis over CISPA maakte afgevaardigde Adam Schiff (D-California) zijn afkeuring duidelijk. "Privé-entiteiten kunnen informatie met elkaar delen zonder ooit door de overheid te gaan," zei hij. "Hoe kan de overheid in die omstandigheden zoveel mogelijk beperken? Dus minimale minimalisatie aan de kant van de overheid, inclusief al het wetsvoorstel, is niet voldoende. "Congreslid Schiff heeft een amendement ingediend om deze lacune aan te pakken, maar hij klaagt dat de sponsors van CISPA het nooit ter stemming hebben gebracht.

Waar private bedrijven om geven: rechtszaken

Onder al het gepraat over delen en minimaliseren, lijkt CISPA echt te gaan over het beschermen van de bedrijven die de gegevens verstrekken voor het feit dat ze hiervoor worden aangeklaagd. Op de vraag wat het belangrijkste was voor consumenten om over CISPA te weten, zei LeDuc van SIIA dat aansprakelijkheidsrisico's cyberbeveiligingsinspanningen tegenwerkten. "Jammer genoeg, onder het huidige wettelijke kader, lopen bedrijven, of andere privé-entiteiten, het risico van wettelijke of juridische actie om informatie te delen waarvan zij geloven dat ze waardevol kunnen zijn voor het voorkomen of mitigeren van een cyberbeveiligingsbedreiging of -incident," zegt hij.

De meesten van ons zullen geen idee hebben of onze gegevens worden gebruikt of misbruikt, tenzij het terugkomt om ons te bijten. Het vooruitzicht van een rechtszaak is enigszins ongewoon. Immers, met deze enorme inspanningen op het gebied van data-scanning, zullen de meesten van ons geen idee hebben of onze gegevens worden gebruikt of misbruikt, tenzij het terug komt om ons te bijten. Als dat echter zou gebeuren, zou het leuk zijn om een ​​proces voor juridische stappen te nemen. Ook hier maakt de vage taal van CISPA het moeilijker om privacy te beschermen. De ACLU Richardson zegt: "Het is niet alleen wat je kunt delen, maar alle beslissingen die je neemt op basis van de gedeelde informatie worden ook geïmmuniseerd. Ze gebruiken die term feitelijk 'genomen beslissingen', die ongelooflijk breed is. '

' Goede trouw 'dekt veel goedbedoelde schade

Maar LeDuc van SIIA houdt vol dat er een proces is. "Individuele burgers verliezen hun bekwaamheid om een ​​rechtszaak aan te spannen of niet te gebruiken, niet", zegt hij. "In alle gevallen waarin een bedrijf niet in goed vertrouwen heeft gehandeld, zijn ze waarschijnlijk aansprakelijk voor schade aan een persoon."

Reitman van het EVF zegt dat de cover van "goede trouw" gemakkelijk zou kunnen verdwijnen ver. Beschermd tegen aansprakelijkheid zouden bedrijven meer gegevens vrijelijk kunnen delen. Bijvoorbeeld, zegt Reitman, "Netflix kon de regering een lijst geven met de namen, creditcardnummers, thuisadressen en accountactiviteit voor iedereen die de film

Hackers

in de drie weken voorafgaand aan Netflix had bekeken lijden aan een milde DDOS-aanval. "CISPA voorziet momenteel in civiel toezicht op het delen van gegevens via het Department of Homeland Security en andere entiteiten, maar als de gegevens dan worden doorgegeven aan een militaire entiteit, eindigt het overzicht.

" We zouden nooit weet wat ze met die gegevens hebben gedaan, "zegt Reitman. "We denken niet dat dit te goeder trouw zou zijn, maar het zou moeilijk zijn voor de klanten om dit te ontdekken en later te bewijzen."

CISPA komt mogelijk niet ver

Dit is de tweede poging van CISPA om de Senaatsgoedkeuring te winnen, en het succes ervan is verre van zeker, vooral gezien het duidelijk uitgesproken voornemen van de president om CISPA in zijn huidige vorm te veto. Hoewel geen enkel stuk wetgeving perfect is, wijzen tegenstanders op de vaagheid en lacunes van CISPA als game-stoppers. ACLU Richardson zegt: "Mensen hebben het over China dat inbreekt en intellectueel eigendom steelt. Als ze daar een wetsvoorstel over hadden geschreven, zouden we minder klachten hebben. De brede en veelomvattende activiteit van CISPA. "

CISPA toont de ingewikkelde strijd tussen online privacy en cyberbeveiligingsinspanningen.

Het huidige wetsvoorstel toont de ingewikkelde kracht van oorlog tussen online privacy en cyberbeveiligingsinspanningen. De ACLU's Richardson is van mening dat CISPA de Senaat zal inspireren om een ​​betere oplossing te vinden. "Alle anderen in dit spel kijken naar iets meer gericht en strategisch en beschermd door privacy." Het imperfecte antwoord is er ergens, hopelijk met evenveel bescherming voor de kleine man als er lijkt te zijn voor big data.