Is. Opinie: CISPA is niet de slechte, privacy-inbreukmakende wetgeving waarvan u denkt dat het

Een wetsvoorstel dat sterkere cyberbeveiliging zou bevorderen door bedrijven in de publieke en private sector in staat te stellen informatie te delen, wordt geconfronteerd met verzet tegen privacy en groepen burgerlijke vrijheden. De controverse is echter misleidend, en de wetgeving is een stap in de goede richting. CISPA, of de Cyber ​​Intelligence Sharing and Protection Act, werd vorig jaar geïntroduceerd door de ranking leden van de House Permanent Select Committee on Intelligence-Mike Rogers (R-MI) en Dutch Ruppersberger (D-MD). Het doel van de wetgeving is om een ​​raamwerk te creëren voor overheids- en privébedrijven om gevoelige informatie te delen in de poging cyberaanvallen effectiever te identificeren en te blokkeren. CISPA kwam in eerste instantie door de Senaat, gesteund door de steun van een groot aantal hooggeplaatsten technische bedrijven zoals AT & T, Comcast, Oracle, Symantec en Microsoft. Het stierf later aan de wijnstok, echter, over zorgen van Big Brother bespioneren Amerikaanse burgers. Maar nu is het weer zover: vorige maand herleefden de sponsors van het congres de rekening in reactie op opvallende aanvallen op Amerikaanse doelen in het afgelopen jaar.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

CISPA is bedoeld om de cyberveiligheid te versterken, niet om Amerikaanse burgers te bespioneren.

De CISPA-terugslag

Ja, de rekening is terug, maar CISPA is sinds vorig jaar niet populairder geworden. De EFF (Electronic Frontier Foundation), ACLU (American Civil Liberties Union) en andere privacybeschermingsgroepen stemmen opnieuw af om zich opnieuw tegen de wetgeving te verzetten. Bovendien heeft Facebook, een originele voorstander van de wetgeving, deze week zijn steun ingetrokken.

De ACLU heeft mij een brief gestuurd die is verstuurd aan de congresleden Rogers en Ruppersberger namens een coalitie van betrokken organisaties. De brief uitte ernstige bedenkingen bij CISPA en riep op tot het niet instellen van civiele controle over het programma voor het delen van informatie; het niet verplichten van particuliere organisaties om persoonlijk identificeerbare informatie te strippen uit gegevens die met de overheid worden gedeeld; en het falen om te zorgen voor ijzeren bescherming voor de informatie die wordt gedeeld.

Kurt Opsahl, procureur van het senior personeel bij EFF, legde me uit: "Het rapport Mandiant laat zien hoeveel nuttige informatie kan worden gedeeld zonder een nieuwe rekening … De problemen [met dit wetsvoorstel] zijn van fundamenteel belang en waarschijnlijk te diep om met een compromis te kunnen worden opgelost. "

Maar is de weerslag gegrond?

Op 16 april 2012 was een wetswijziging gericht op het aanpakken van privacykwesties. Er waren vragen over terminologie, dus het amendement verduidelijkt wat wordt bedoeld met "informatie over cyberdreigingen" om te zorgen voor een smallere interpretatie zonder "intellectueel eigendom". Sommigen uitten hun bezorgdheid over het feit dat de factuur ISP's of dienstverleners zou toestaan ​​om accounts of inhoud verwijderen.In antwoord hierop specificeert de wijziging dat de wetgeving beperkt is tot het identificeren, verkrijgen en delen van informatie over cyberdreigingen, en expliciet vermeldt dat de factuur geen toestemming geeft om accounts te blokkeren of informatie te verwijderen.

Het amendement behandelt de belangrijkste privacykwesties en verhindert dat de verkregen informatie wordt gebruikt voor andere doeleinden dan de inlichtingenverzameling waarvoor deze is bedoeld, en biedt de Amerikaanse regering de mogelijkheid om te worden opgeroepen als de verkregen informatie wordt gebruikt op een manier die de beperkingen van Het amendement geeft de procureur-generaal van de Verenigde Staten ook het recht toezicht te houden op activiteiten onder CISPA en te zorgen voor privac De veiligheidswaarborgen worden gehandhaafd.

Microsoft deelde haar officiële verklaring over CISPA, waarin tegelijkertijd de privacykwesties worden benadrukt, maar erkent ook dat er vooruitgang wordt geboekt en impliceert de steun van Microsoft voor de onderliggende doelstellingen van CISPA:

"Microsoft is van mening dat elke voorgestelde wetgeving het vrijwillig delen van informatie over cyberdreigingen moet faciliteren op een manier die ons in staat stelt de privacy- en beveiligingsbeloften na te komen die we aan onze klanten doen. Wetgeving die midden februari is geïntroduceerd, weerspiegelt belangrijke wijzigingen die voortvloeien uit een actieve, constructieve dialoog over een eerdere versie van de wet, en die dialoog moet worden voortgezet. We kijken er naar uit om verder te gaan met beleidsmakers en anderen om de cyberveiligheid te verbeteren en tegelijkertijd de privacy van consumenten te beschermen. "- Scott Charney, Corporate Vice President, Trustworthy Computing

Waarom CISPA?

Eind februari op de RSA-beveiligingsconferentie, ik ging zitten met de sponsorvertegenwoordigers, Rogers en Ruppersberger. Rogers verklaarde de motivatie achter het nogmaals steunen van de rekening. "De hoeveelheid rijkdom die vanuit de Verenigde Staten naar plaatsen als China is overgebracht, is adembenemend en gevaarlijk", zei hij.

Rogers en Ruppersberger zijn van mening dat als inlichtingendiensten van de Verenigde Staten gerubriceerde informatie zouden kunnen delen met de privésector, de de veiligheidsindustrie en particuliere bedrijven zullen beter gewapend zijn om zichzelf te verdedigen. Ook kan de inlichtingengemeenschap baat hebben bij particuliere bedrijven die hun kennis over aanvallen met de overheid delen.

Het delen van informatie in twee richtingen is van vitaal belang voor het zien van de grote beeld van beveiligingsbedreigingen, en het detecteren en voorkomen van aanvallen.Inderdaad, informatie-uitwisseling na de Operatie Aurora aanvallen op Google en andere organisaties biedt een goed voorbeeld van hoe effectief het delen kan zijn. Elk bedrijf weet misschien dat er iets verdachts aan de hand is, maar kan zie slechts één stukje van de puzzel. Door notities te vergelijken met andere bedrijven en inlichtingendiensten kunnen de stukken loc zijn samen voor een completer beeld van de aanval.

Het doel, volgens Rogers, is om informatie-uitwisseling aan te pakken op een manier die brede, tweeledige steun en buy-in heeft van belangrijke belanghebbenden in zowel de overheid als de privesector. De congresverdedigers zijn van mening dat CISPA de beste manier is om de overheid en de particuliere sector de nodige hulpmiddelen te geven om geavanceerde aanvallen te detecteren en zich te wapenen tegen geavanceerde, aanhoudende bedreigingen. <> Nu hebben Rogers en Ruppersberger CISPA opnieuw ingediend na President Obama's State of the Union-toespraak, waarin hij opriep de natie te beschermen tegen cyberaanvallen. Is er iets veranderd in de factuur die het onderscheidt van de versie die is neergeschoten? Nee, er is niets veranderd. Ruppersberger legde uit dat hij en Rogers beiden lid zijn van de "Gang of Eight", een groep gekozen functionarissen die toegang krijgen tot belangrijke informatie over inlichtingen, en die geïnformeerd zijn over nationale beveiligingskwesties die ook worden geacht gevoelig om breder gedeeld te worden met de rest van het Congres. Hij zei dat hem vaak wordt gevraagd wat hem 's nachts wakker houdt, en een van zijn belangrijkste reacties is' cyberaanvallen '.

We moeten actie ondernemen om te voorkomen dat gevoelige en eigendomsgegevens worden gestolen.

Maar waarom dezelfde wetgeving nog een keer? Ruppersberger zei dat het dreigingslandschap sinds vorig jaar is veranderd en dat er nu meer steun is voor wat ze proberen te bereiken met CISPA. "We worden blootgesteld en deze aanvallen worden agressiever - de Washington Post, de New York Times, de Wall Street Journal, ik bedoel de Treasury-afdeling, en het gaat maar door … Aramco, 30.000 computers zijn uitgeschakeld. Ze zijn veel agressiever geworden. "

Vooruitgaan

Eén kritiek op de factuur betreft hoeveel informatie privébedrijven zouden delen met de overheid. CISPA-tegenstanders willen dat verschillende soorten gegevens worden gestript of geminimaliseerd voordat ze naar de overheid worden gestuurd, maar particuliere bedrijven willen niet de extra last van het proberen te doorzoeken door gegevens voordat ze het delen.

Ruppersberger legde uit dat de NSA al de beschikking heeft over hulpmiddelen en technologie voor het minimaliseren van de gegevens zodra de overheid het ontvangt, en dat dit een kwestie is waarvan hij gelooft dat het kan worden verwerkt. Sommige van de andere zorgen met betrekking tot CISPA zijn een kwestie van jurisdictie. Rogers en Ruppersberger bekijken de wereld door de lens van het House Permanent Select Committee on Intelligence en zij hebben wetgeving opgesteld om de problemen aan te pakken die zij in het kader van dat comité zien.

Waar zijn we nu? De wetgeving moet nu worden opgemaakt en door de commissie worden gehaald voordat er zelfs een mogelijkheid is om te worden gestemd. Dus er is nog steeds tijd om problemen te bespreken en compromissen te sluiten om eventuele resterende zorgen weg te nemen. CISPA vereist een moeilijke evenwichtsoefening, maar het is van cruciaal belang voor de economische en nationale veiligheidsbelangen van de Verenigde Staten dat we de dreiging van cyberaanvallen aanpakken. Noch de overheid noch de particuliere sector kan het probleem alleen aanpakken, dus wetgeving zoals CISPA is nodig om het delen en samenwerken dat we nodig hebben te faciliteren.

De standpunten die in dit artikel naar voren komen zijn die van de columnist, en niet noodzakelijk die van PCWorld.