Это секретность против кибербезопасности, поскольку счет CISPA прибывает в Сенат

Обновление: в четверг американские новости сообщили, что CISPA «почти наверняка будет отложено», ссылаясь на комментарии, сделанные неназванным представителем Комитета Сената США по торговле, науке и транспорту. Американские новости также цитируют Мишель Ричардсон, законодательный совет с ACLU, который сказал: «Я думаю, что на данный момент это мертво. CISPA слишком противоречива, она слишком экспансивна, это не та же самая программа, которую сенат рассматривал в прошлом году». Ричардсон считает, что для принятия нового закона может потребоваться несколько месяцев.

Кибербезопасность и конфиденциальность в Интернете - это два критических интереса, которые, судя по всему, никогда не будут ладить. Конечно, вы хотите, чтобы злонамеренные хакеры, спамеры и другие интернет-пользователи были привлечены к ответственности, но вы также хотите защитить свои онлайн-данные.

Большая часть борьбы с киберпреступностью требует, однако, сбора стоимостей сена в сети агрегированных онлайн-данных и сканируя его на неуловимую иглу подозрительной активности. Ваши онлайн-данные могут быть снесены в одну из этих свай и отсканированы. Что происходит с ним по пути - это все догадываются.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]. Первый шаг в понимании того, как работает кибербезопасность, - это принять, что ваши онлайн-данные будут отсканированы, и уже отсканировано.

Вот почему вы хотите следить за Законом о кибер-разведке и защите (CISPA), который прошел на прошлой неделе Палату представителей США и в настоящее время рассматривается Сенатом, где он находится в настоящее время в комитете, CISPA стремится ослабить ограничения, которые в настоящее время регулируют обмен данными между исследователями кибербезопасности. Это может звучать достаточно разумно, но возникают разногласия по поводу того, как обрабатываются данные, в частности, как он делится и как сводится личная идентификационная информация (PII).

Кроме того, законопроект создает высокий уровень иммунитета от судебных процессов для государственных и частных компаний, которые делят данные. Это не совсем утешительно, когда они делятся вашими данными.

Если, если ваши данные сканируются и обмениваются данными

Первым шагом в понимании того, как работает кибербезопасность, является признание того, что ваши онлайн-данные уже сканируются, Правительство, правоохранительные органы и частные компании находятся в поиске подозрительной интернет-активности. Спамеры, ботнеты и злонамеренные хаки на такие сайты, как Twitter, попадают в одну широкую категорию киберпреступлений. Еще большую озабоченность вызывают попытки атаковать «критическую инфраструктуру» (например, энергетические и водные коммунальные службы и сети связи) или гражданские лица.

CISPA позволит частным компаниям делиться данными, которые считаются «информацией о кибер-угрозах».

CISPA позволит частным компаниям делиться данными с сотрудниками правоохранительных органов и правительственными учреждениями, если данные соответствуют тому, что законопроект называет «информацией о кибер-угрозе», которая могла бы помочь в разрешении преступления. По словам Джерами Скотта, сотрудника по вопросам национальной безопасности в Электронном информационном центре конфиденциальности, это неопределенность этого термина является важной частью проблемы конфиденциальности. «Он использует такие термины, как« уязвимость к сети »и« угроза целостности сети »в своем определении, которые передаются частному сектору для интерпретации», - говорит Скотт.

Определения, охватывающие данные, достаточно расплывчаты, чтобы приглашать наброски

Расплывчатость CISPA дает частным компаниям много места для маневра, чтобы перекрыть информацию. «Скажите, что сайт социальной сети страдает от атаки типа« отказ в обслуживании », - говорит Скотт. «Сайт может предлагать более релевантные диагностические данные правительству, но он также может предоставлять личную информацию обо всех затронутых профилях, в том числе, например, с кем вы связаны, и профилировать биоресурсы - пока социальная сеть считалась информационной частью «информации о кибер-угрозах».

Согласно законодательному совету Мишель Ричардсон из Американского союза гражданских свобод, каждый глупый спам, который вы получаете из Нигерии, может сделать вашу информацию честной игрой для дальнейшего расследования. «Это повседневные события, которые являются событиями кибербезопасности по законопроекту», - говорит Ричардсон. Рейни Рейтман (Rainey Reitman), директор по вопросам активности в Electronic Frontier Foundation, говорит, что служба может делиться любыми данными, которые она считает «информацией о кибер-угрозах», и могла бы сделать это «без судебного процесса, если бы это было добросовестно», кибербезопасность ».

Обмен данными будет проще или автоматическим

. Ричардсон из ACLU добавляет, что в рамках CISPA обмен данными будет плавным и плавным. Вместо того, чтобы проходить процесс, в котором правительство конкретно запрашивает информацию, «они говорят о каком-то процессе, который автоматически собирается отправить материал правительству», - говорит Ричардсон.

Если данные будут маршрутизироваться автоматически, когда и как PII становится лишенным данных, становится более серьезной проблемой. К сожалению, никто не говорит о том, что пользовательские идентификаторы полностью анонимны. Нет, люди, стоящие за CISPA, удовлетворены простой «минимизацией» - разумными усилиями по удалению PII. Вот где снова появляется определение «информации о кибер-угрозе», говорит Скотт EPIC: «CISPA не требует [частной компании] удалять или иным образом сужать информацию, предоставленную правительству, если она подпадает под широкий зонтик информации о кибер-угрозах ».

Эксперты по безопасности ищут тенденции, распространенность определенных видов поведения и шаблоны распространения вредоносного ПО, а не личные данные. -David LeDuc, SIIA Хотя, по-видимому, для предоставляющей компании было бы целесообразно отделить PII от данных, которыми они делятся, в рамках CISPA эта задача выпадает на правительство. Дэвид Ледюк является старшим директором государственной политики Ассоциации Software & Information Industry Association, крупной торговой группы, представляющей разработчиков программного обеспечения и предприятий цифрового контента, которые поддерживают CISPA. LeDuc понижает важность PII в кибербезопасности, заявляя, что это не то, что интересует профессионалов, занимающихся борьбой с киберпреступностью. «Эксперты по безопасности ищут тенденции, - говорит он, - распространенность определенных видов поведения и шаблонов распространения вредоносных программ - а не на личную информацию».

LeDuc также указывает, что в CISPA были внесены поправки, сделав возможным минимизацию на государственном уровне это обязательно. «Федеральное правительство должно свести к минимуму информацию, получаемую от частного сектора, для получения информации о конкретных лицах, не имеющих необходимости реагировать на кибер-угрозу», - говорит он.

Однако эта поправка не затрагивает вопрос о том, что происходит с данные, разделяемые частными компаниями. Поскольку только правительство имеет задачу минимизировать PII в рамках CISPA, частные компании могут делиться относительно богатыми данными PII между собой, не прилагая никаких усилий к минимизации. Выступая перед голосованием в Палате представителей по СНГПА, представитель Адама Шиффа (D-California) дал свое неодобрение. «Частные субъекты могут обмениваться информацией друг с другом, не проходя через правительство», - сказал он. «В таких обстоятельствах, как правительство может минимизировать то, чего он никогда не имеет? Таким образом, минимизация только правительственной стороны, на которую распространяется весь этот законопроект, недостаточно ».

Конгрессмен Шифф внес поправку для решения этой лазейки, но он жалуется, что спонсоры CISPA никогда не приводили его в Палату для голосования.

Какие частные компании заботятся о: судебных процессах

Под всеми этими разговорами о совместном использовании и минимизации, о чем, по-видимому, говорит CISPA, является защита компаний, которые предоставляют данные для подачи заявлений на это. На вопрос, что было самым важным для потребителей, чтобы узнать о CISPA, LeDuc SIIA сказал, что риски ответственности препятствуют усилиям кибербезопасности. «К сожалению, в соответствии с действующей правовой базой компании или любые частные компании сталкиваются с риском нормативных или юридических действий для обмена информацией, которая, по их мнению, может быть ценной для предотвращения или смягчения угрозы или инцидента в кибербезопасности», - говорит он.

Большинство из нас не будут знать, используются ли наши данные или используются неправильно, если только они не вернутся, чтобы укусить нас.

Перспектива судебного разбирательства несколько странная. В конце концов, с этими огромными усилиями по сканированию данных, большинство из нас не будет знать, используются ли наши данные или используются неправильно, если только они не вернутся, чтобы укусить нас. Однако, если это произойдет, было бы неплохо иметь процесс правовой защиты. Здесь опять же неопределенный язык CISPA делает конфиденциальность конфиденциальной для защиты. Ричардсон из ACLU говорит: «Это не то, что вы можете поделиться, но любые решения, которые вы принимаете на основе общей информации, также иммунизированы. Фактически они используют этот термин, «принятые решения», который невероятно широк.

«Добрая вера» покрывает много благих намерений

Но LeDuc от SIIA настаивает на том, что есть процесс. «Индивидуальные граждане не теряют возможности подать в суд или использовать суды для возмещения», - говорит он. «В любом случае, когда компания обнаружила, что она не действует« добросовестно », они, вероятно, будут нести ответственность за вред для человека».

Рейтман из EFF говорит, что обложка «добросовестности» тоже может легко пойти далеко. Защищенные от ответственности компании могут более свободно предоставлять больше данных. Например, говорит Рейтман, «Netflix может предоставить правительству список имен, номеров кредитных карт, домашних адресов и активности аккаунта для всех, кто смотрел фильм Hackers в течение трех недель, предшествующих Netflix страдающих легкой DDOS-атакой ». В настоящее время CISPA предусматривает гражданский надзор за совместным использованием данных через Департамент внутренней безопасности и другие субъекты, но если данные затем передаются в военное подразделение, надзор заканчивается.

« Мы никогда не будем знать, что они сделали с этими данными », - говорит Рейтман. «Мы не думаем, что это было бы добросовестно, но клиентам было бы трудно обнаружить, а затем доказать».

CISPA может не уйти далеко.

Это вторая попытка CISPA выиграть одобрение Сената и его успех далеко не определен, особенно учитывая четко сформулированное намерение президента наложить вето на СНГПА в его нынешнем виде. Хотя ни одна из законодательных актов не является совершенной, противники указывают на неопределенность и лазейки CISPA в качестве игровых пробок. Ричардсон из ACLU говорит: «Люди говорят о том, что Китай ворвался и воровал интеллектуальную собственность. Если бы они написали счет об этом, у нас было бы меньше жалоб. CISPA широко распространяет и проводит большую повседневную деятельность ».

CISPA показывает сложный перетягивание каната между онлайн-конфиденциальностью и усилиями по кибербезопасности.

Сенаторы также готовят альтернативное законодательство в области кибербезопасности, хотя в прошлом году это не сработало, либо, Сенатор Джон Д. (Джей) Рокфеллер (D-West Virginia) спонсирует Закон о конкурентоспособности кибербезопасности и американской кибернетики 2013 года (поскольку он сделал аналогичные усилия в 2012 году, которые застопорились). Сенатор Рокфеллер в пресс-релизе, опубликованном после голосования в Палате представителей Палаты представителей, сказал: «Сегодняшняя акция в Доме важна, даже если защита конфиденциальности CISPA недостаточна. Нам нужны действия по всем элементам, которые укрепили бы нашу кибербезопасность, а не только одну, и этого достигнет Сенат ». Достигнутый ранее на этой неделе сенатор Дайанн Фейнстейн (D-California), соавтор одного и того же законопроекта, сказал: «Мы в настоящее время разрабатываем двухпартийный законопроект об обмене информацией и будем действовать, как только мы придем к соглашению».

Законопроект в его нынешнем виде показывает сложный перетягивание каната между онлайн-конфиденциальностью и усилиями по кибербезопасности. Ричардсон из ACLU считает, что CISPA вдохновит Сенат найти лучшее решение. «Все остальные в этой игре смотрят на что-то более целенаправленное, стратегическое и защищенное от конфиденциальности». Недостаточный ответ там где-то, надеюсь, с такой же защитой для маленького парня, как кажется, для больших данных.