זה הפרטיות לעומת Cybersecurity כמו הצעת חוק CISPA מגיע לסנאט

עדכון: ביום חמישי, חדשות ארה"ב דיווחו כי CISPA "כמעט בוודאות יהיה לגנוב", וציטטו דבריו של נציג ללא שם של ועדת הסנאט של ארה"ב על המסחר, המדע והתחבורה. בנוסף, ציינה ארה"ב את מישל ריצ'רדסון, עורכת הדין של ה- ACLU, שאמרה: "אני חושבת שזה מת בינתיים, ה- CISPA הוא שנוי במחלוקת מדי, הוא מרחיב מדי, זה לא בדיוק אותו סוג של תוכנית שקבע הסנאט בשנה שעברה". ריצ'רדסון מעריך כי עשויות לחלוף מספר חודשים עד שהחקיקה החדשה תבוא לידי הצבעה.

Cybersecurity ופרטיות באינטרנט הן שתי אינטרסים קריטיים שנראים כאילו לא נועדו להסתדר. בטח, אתה רוצה האקרים זדוניים, שולחי דואר זבל, ושאר Internet lowlifes מובא לדין - אבל אתה גם רוצה להגן על הנתונים שלך באינטרנט. עם זאת, חלק גדול של cybercrime הלחימה, דורש איסוף של שחת שווה ערך של נתונים מקוונים מצטברים ו סוקרת אותו למחט חמקמקה של פעילות חשודה. הנתונים שלך באינטרנט יכול להיות נסחף לתוך אחד ערימות אלה ונסרק. מה קורה לו לאורך הדרך הוא ניחוש של מישהו.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows] הצעד הראשון בהבנת האופן שבו פועל הסייברסקוריטי הוא לקבל את הנתונים המקוונים שלך שיסרקו - וכבר סורק.

זו הסיבה שאתה רוצה לפקוח עין על סייבר מודיעין שיתוף ושיתוף חוק (CISPA), אשר עבר את בית הנבחרים של ארה"ב בשבוע שעבר, ועכשיו הוא נחשב על ידי הסנאט, שם הוא כרגע בוועדה. CISPA שואפת לשחרר את ההגבלות כי כרגע לשלוט על שיתוף נתונים בין חוקרים cybersecurity. זה אולי נשמע הגיוני מספיק, אבל המחלוקת עולה על האופן שבו הנתונים מטופלים, בפרט, איך זה משותף, וכיצד מזער מידע אישי (PII).

בנוסף, הצעת החוק יוצרת רמה גבוהה של חסינות מפני תביעות עבור הממשלה וחברות פרטיות אשר חולקים נתונים. זה לא בדיוק מנחם כאשר הם משתפים את הנתונים שלך.

כאשר, אם לא, הנתונים שלך נסרקים ומשותפים

הצעד הראשון בהבנת האופן שבו פועל הסייברסקוריטי הוא לקבל את הנתונים שלך באינטרנט כבר נסרק. הממשלה, אכיפת החוק, וחברות פרטיות כולם על המשמר פעילות אינטרנט חשוד למראה. שולחי דואר זבל, בוטנים ופריצות זדוניות לאתרים כמו Twitter נופלים לקטגוריה רחבה אחת של פשעי אינטרנט. דאגה גדולה אף יותר היא ניסיונות לתקוף "תשתיות קריטיות" (כגון שירותי כוח ומים ורשתות תקשורת) או אזרחים.

CISPA תאפשר לחברות פרטיות לשתף נתונים הנחשבים כ"איום סייבר ".

CISPA תאפשר לחברות פרטיות לשתף מידע עם גורמי אכיפת החוק וגופים ממשלתיים אם הנתונים זכאים כמו מה הצעת החוק מכנה "מידע איום סייבר" שיכולים לעזור לפתור פשע. המונח "מעורפל" הוא חלק גדול מבעיית הפרטיות, אומר ג'רמי סקוט, איש הביטחון הלאומי במרכז המידע על הפרטיות האלקטרונית. "היא משתמשת במונחים כמו 'פגיעות לרשת' ו'איום על שלמות הרשת 'בהגדרתה שנותרה למגזר הפרטי כדי לפרש", אומר סקוט.

הגדרות המכסות נתונים הן מעורפלות מספיק כדי להזמין שיתוף יתר

העמימות של CISPA נותנת לחברות פרטיות הרבה מקום להתנועע כדי להעביר מידע. "תגיד אתר הרשתות החברתיות סובל התקפה של מניעת שירות," סקוט אומר. "האתר יכול להציע את פרטי האבחון הרלוונטיים יותר לממשלה, אך הוא יכול גם לספק את המידע האישי על כל הפרופילים המושפעים - כולל, למשל, עם מי אתה מחובר ופרטים ביוגרפיים של פרופיל - כל עוד הרשת החברתית נחשבת לחלק המידע של "מידע האיום הקיברנטי"לדברי היועצת המחוקקת מישל ריצ'רדסון מארגון החירויות האזרחיות האמריקאיות, כל דואר זבל טיפש שאתה מקבל מניגריה יכול להפוך את הנתונים שלך למשחק הוגן לחקירה נוספת. "אלה הם מופעים יומיומיים שהם אירועים cybersecurity על פי הצעת החוק", אומר ריצ 'רדסון. רייני רייטמן, מנהל אקטיוויזם בקרן אלקטרונית, אומר כי שירות יכול לחלוק כל מידע שהוא רואה "מידע איום סייבר" והוא יכול לעשות זאת "ללא הליך משפטי, כל עוד זה היה" בתום לב "ועל" המטרה של cybersecurity "."

שיתוף הנתונים יהיה קל יותר או אוטומטי

ריצ'רדסון של ACLU מוסיף כי תחת CISPA, שיתוף הנתונים יהיה חלק לחלוטין. במקום לעבור תהליך שבו הממשלה מבקשת במפורש מידע, "הם מדברים על איזה תהליך באופן אוטומטי הולך להעביר דברים לממשלה", אומר ריצ 'רדסון.

אם הנתונים ינותבו באופן אוטומטי, כאשר ואיך PII מקבל חשוף מן הנתונים הופך לבעיה גדולה יותר. למרבה הצער, אף אחד לא מדבר על ביצוע זהויות המשתמש אנונימי לחלוטין. לא, אנשים מאחורי CISPA מרוצים רק "מזעור" - עושה מאמץ סביר להסיר PII. הנה הנקודה שבה ההגדרה של "מידע איום סייבר" שוב נכנסת לפעולה, אומר סקוט של EPIC: "CISPA לא דורש [חברה פרטית] להסיר או לצמצם את המידע שנמסר לממשלה כל עוד הוא נופל תחת המטריה הרחבה של מידע על איומים קיברנטיים. "

מומחי אבטחה מחפשים מגמות, השכיחות של התנהגויות מסוימות ודפוסי התפשטות של תוכנות זדוניות - לא במידע אישי. -David LeDuc, SIIA

למרות שזה נראה הגיוני עבור החברה לספק כדי לנתק PII מן הנתונים שהם חולקים, תחת CISPA כי המשימה נופל על הממשלה. David LeDuc הוא המנהל הבכיר של מדיניות ציבורית עבור איגוד תעשיית התוכנה והתוכנה, קבוצת סחר גדולה המייצגת מפתחי תוכנה ועסקי תוכן דיגיטליים, התומכים ב- CISPA. LeDuc downplays את החשיבות של PII ב cybersecurity, ואמר כי זה לא מה עניין אנשי מקצוע העוסקים בלחימה cybercrime. "מומחי אבטחה מחפשים מגמות", הוא אומר, "השכיחות של התנהגויות מסוימות ודפוסי התפשטות של תוכנות זדוניות - לא במידע אישי".

LeDuc מציין גם ש- CISPA תוקן מהפיכת מינימליזציה מבוססת-הממשלה לבחירה זה חובה. "הממשלה הפדראלית צריכה למזער מידע שהיא מקבלת מהמגזר הפרטי כדי להוציא מידע על אנשים ספציפיים שאינם נחוצים כדי להגיב לאיום הקיברנטי", הוא אומר. ואולם, תיקון זה אינו מתייחס לשאלה מה קורה נתונים משותפים בין חברות פרטיות. מאחר שרק לממשלה יש תפקיד למזער את ה- PII תחת CISPA, חברות פרטיות יכולות לחלוק ביניהן נתונים אישיים עשירים יחסית, מבלי לעשות כל מאמץ למזעור. בדיון לפני הצבעת בית על CISPA, נציג אדם שיף (D-California) הבהיר את מורת רוחו. "גופים פרטיים יכולים לחלוק מידע זה עם זה מבלי לעבור את הממשלה", אמר. "בנסיבות כאלה, איך הממשלה יכולה למזער את מה שהיא לא מעסיקה? כך שהמיזעור מצד הממשלה לבדה, וזה כל החשבון הזה, אינו מספיק ".

חבר הקונגרס שיף הציג תיקון לפרשה זו, אך הוא מתלונן כי נותני החסות של CISPA מעולם לא הביאו אותה לפני בית ההצבעה.

מה חברות פרטיות אכפת: תביעות

מתחת לכל הדיבורים האלה על שיתוף ומזעור, מה CISPA באמת נראה על זה להגן על החברות המספקות את הנתונים מלהיות נתבע על כך. כשנשאל מה הדבר החשוב ביותר עבור הצרכנים לדעת על CISPA, LeDuc של SIIA אמר כי הסיכונים אחריות סיכלו מאמצי cybersecurity. "למרבה הצער, במסגרת החוק הנוכחית, חברות, או כל ישויות פרטיות, עומדות בפני סיכון של פעולה רגולטורית או משפטית לשיתוף מידע שלדעתן עשוי להיות בעל ערך למניעה או להפחתת איום או אירוע של cybersecurity", הוא אומר.לרובנו לא יהיה מושג אם הנתונים שלנו נמצאים בשימוש או בשימוש לרעה, אלא אם כן זה חוזר לנשוך אותנו.

האפשרות של התדיינות משפטית הוא קצת מוזר. אחרי הכל, עם מאמצי הנתונים הענקיים הללו, לרובנו לא יהיה מושג אם הנתונים שלנו נמצאים בשימוש או בשימוש לא נכון, אלא אם כן זה חוזר לנשוך אותנו. אבל אם זה יקרה, יהיה נחמד שיהיה הליך משפטי. כאן שוב, השפה המעורפלת של CISPA הופכת את הפרטיות לקשה יותר להגנה. ריצ'רדסון של ACLU אומר, "זה לא רק מה שאתה יכול לחלוק, אבל כל ההחלטות שתבצע מבוסס על המידע המשותף הם גם חיסונים. הם באמת משתמשים במונח זה, 'החלטות שנעשו', שהוא רחב מאוד. "[

] 'תום לב' מכסה הרבה נזק בעל כוונות טובות. אבל לאדוק של SIIA עומד על כך שיש תהליך. "אזרחים פרטיים לא מאבדים את יכולתם לתבוע או לנצל את בתי המשפט לתיקון", הוא אומר. "בכל מקרה שבו חברה נמצא כי לא לפעול בתום לב" הם היו עלולים להיות אחראים לפגיעה בפרט. "

Reitman של EFF אומר כי הכיסוי של" תום הלב "יכול בקלות ללכת גם רָחוֹק. מוגנים מפני אחריות, חברות יכול לחלוק נתונים נוספים באופן חופשי יותר. לדוגמה, אומר ריטמן, "נטפליקס יכולה לתת לממשלה רשימה של השמות, מספרי כרטיסי האשראי, כתובות הבית ופעילות החשבון עבור כל מי שצפה בסרט

האקרים

במהלך שלושת השבועות המובילים לנטפליקס סובלים ממתקפת DDOS קלה ". CISPA מספק כיום פיקוח אזרחי על שיתוף נתונים באמצעות המחלקה לביטחון פנים וגופים אחרים, אך אם הנתונים מועברים לאחר מכן לישות צבאית, הפיקוח מסתיים.

" לעולם לא היינו יודעים מה הם עושים עם הנתונים האלה ", אומר רייטמן. "אנחנו לא חושבים שזה יהיה בתום לב, אבל זה יהיה קשה עבור הלקוחות לגלות ולאחר מכן להוכיח."

CISPA לא יכול להגיע רחוק

זהו הניסיון השני של CISPA לזכות באישור הסנאט, ו הצלחתו רחוקה מלהיות בטוחה - במיוחד לאור כוונתו המפורשת של הנשיא להטיל וטו על CISPA במתכונתה הנוכחית. אף על פי שאף פיסת חקיקה אינה מושלמת, היריבים מצביעים על העמימות והפרצות של CISPA כעל פקקים. ריצ'רדסון של ACLU אומר, "אנשים מדברים על סין פורצת וגונבת קניין רוחני. אילו היו כותבים על כך חשבון, היו לנו פחות תלונות. ה- CISPA רחב ומרבה לטאטא פעילות יומיומית. " CISPA מראה את משיכת המלחמה המורכבת בין הפרטיות המקוונת לבין מאמצי הסייברס. הסנאטורים גם מכינים חקיקה חלופית בתחום הסייבר-סיסטם - אם כי זה לא עבד גם בשנה שעברה, או. סנאטור ג 'ון ד' (ג 'יי) רוקפלר (D- מערב וירג' יניה) הוא חסות Cybersecurity ואת סייבר אמריקאי תחרותיות Act של 2013 (כפי שהוא עשה 2012 מאמץ דומה כי נעצר). בהודעה לעיתונות שפורסמה לאחר ההצבעה בבית על CISPA, אמר סנטור רוקפלר, "הפעולה של היום בבית חשוב, גם אם הגנות הפרטיות של CISPA אינם מספיקים. אנו זקוקים לפעולה על כל האלמנטים שיחזקו את האבטחה הסייברסיבית שלנו, לא רק את זה, וזה מה שהסנאט ישיג ". כך אמר הסנאטור דיאאן פיינשטיין (D-California), שהיה שותף בחוזה של אותה הצעת חוק, "אנחנו כרגע מגייסים הצעת חוק דו-צדדית לשיתוף מידע וימשיכו מיד עם הגעתנו להסכם". הצעת החוק כפי שהיא מציגה מראה את משיכת המלחמה המורכבת בין הפרטיות המקוונת ומאמצי הסייברסקוריטי. ACLU של ריצ 'רדסון סבור כי CISPA יהיה לעורר את הסנאט למצוא פתרון טוב יותר. "כל השאר במשחק הזה מתבוננים במשהו ממוקד יותר ואסטרטגי ופרטיות מוגן". התשובה הלא מושלמת נמצאת במקום כלשהו, ​​בתקווה עם הגנה רבה ככל האפשר על הבחור הקטן, כפי שנראה על נתונים גדולים.