Det er privatlivets fred mod cybersikkerhed, da CISPA-regningen kommer til senatet

Opdatering: På torsdag rapporterede amerikanske nyheder, at CISPA "næsten helt sikkert vil blive hylket", med henvisning til bemærkninger fra en ikke navngivet repræsentant for det amerikanske senatskomité for handel, videnskab og transport. US News citerede også Michelle Richardson, lovgivende rådgiver med ACLU, der sagde: "Jeg tror, ​​det er død for nu. CISPA er for kontroversielt, det er for ekspansivt, det er bare ikke det samme program, som Senatet fortalte sidste år." Richardson vurderer, at det kan tage flere måneder for ny lovgivning at komme til afstemning.

Cybersikkerhed og privatlivets fred er to kritiske interesser, der synes at være bestemt aldrig at komme sammen. Sikker på, at du vil have ondsindede hackere, spammere og andre Internet-lowlifes rettet, men du vil også beskytte dine online-data.

En stor del af cyberkriminalitetsbekæmpelse kræver imidlertid at indsamle en høstacks værd af aggregerede online data og scanning det for en undvigende nål af mistænkelig aktivitet. Dine online data kunne fejes ind i en af ​​disse bunker og scannes. Hvad der sker undervejs, er nogens gæt.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc] Det første skridt i at forstå, hvordan cybersikkerhed virker, er at acceptere, at dine online data bliver scannet - og er allerede ved at blive scannet.

Derfor vil du holde øje med Cyber ​​Intelligence Sharing and Protection Act (CISPA), som bestod Det amerikanske repræsentationshus i sidste uge og nu overvejes af senatet, hvor det for øjeblikket er i udvalget. CISPA sigter på at løsne begrænsninger, som i øjeblikket styrer udveksling af data blandt cybersecurity investigators. Det lyder måske rimeligt nok, men kontroversen opstår over, hvordan dataene håndteres - specifikt, hvordan det deles, og hvordan personligt identificerbare oplysninger (PII) minimeres.

Derudover skaber regningen et højt niveau af immunitet fra retssager for regeringen og private virksomheder, der deler data. Dette er ikke ligefrem trøstende, når de deler dine data.

Når, men ikke, dine data scannes og deles

Det første skridt i at forstå, hvordan cybersikkerhed fungerer, er at acceptere, at dine online data allerede scannes. Regering, retshåndhævende myndigheder og private virksomheder er alle på udkig efter mistænkelig internetaktivitet. Spammere, botnets og ondsindede hack på steder som Twitter falder ind i en bred kategori af cyberkriminalitet. Endnu større bekymring er forsøg på at angribe "kritisk infrastruktur" (såsom strømforsyninger og vandforsyninger og kommunikationsnetværk) eller civile.

CISPA ville lade private virksomheder dele data, der anses for at være "information om cybertrussel".

CISPA ville lade private virksomheder dele data med retshåndhævende embedsmænd og statslige organer, hvis dataene kvalificerer sig som, hvad regningen kalder "information om cybertrussel", der kunne hjælpe med at løse en forbrydelse. Dette udtryk er uklarhed er en stor del af privatlivets fredsproblemet, siger Jeramie Scott, national sikkerhedsmedarbejder på Electronic Privacy Information Center. "Det bruger udtryk som" sårbarhed over for et netværk "og" trussel mod integriteten af ​​et netværk "i sin definition, der overlades til den private sektor til at fortolke," siger Scott.

Definitioner, der dækker data, er vage nok til at invitere oversharing

CISPA's vaghed giver private virksomheder en masse wiggle room til overshare oplysninger. "Sig et socialt netværk websted lider et benægtelse-of-service angreb," siger Scott. "Webstedet kunne kun tilbyde de mere relevante diagnostiske detaljer til regeringen, men det kunne også give de personlige oplysninger om alle de berørte profiler - herunder, for eksempel, hvem du er forbundet med og profil bio detaljer - så længe de sociale netværk betragtes som en del af informationen om "cyber threat". ""

Ifølge lovgivende rådgiver Michelle Richardson fra American Civil Liberties Union kan alle dumme spam du modtager fra Nigeria gøre dit data retfærdigt spil til videre undersøgelse. "Disse er hverdagsbegivenheder, der er cybersikkerhedsbegivenheder under regningen," siger Richardson. Rainey Reitman, aktivitetsdirektør ved Electronic Frontier Foundation, siger, at en tjeneste kunne dele data, som den betragtede "information om cybertrussel" og kunne gøre det "uden retlig proces, så længe det var i god tro og for en" cybersecurity formål. '"

Datadeling vil være nemmere eller automatisk

ACLU's Richardson tilføjer, at under CISPA vil datadeling være glat og virkelig glat. I stedet for at gå igennem en proces, hvor regeringen specifikt anmoder om information, "taler de om en form for proces, der automatisk vil videresende ting til regeringen", siger Richardson.

Hvis data skal blive sendt automatisk, hvornår og hvordan PII bliver fjernet fra dataene bliver et større problem. Desværre snakker ingen om at gøre brugeridentiteter helt anonyme. Nej, folkene bag CISPA er tilfredse med blot "minimering" - hvilket gør en rimelig indsats for at fjerne PII. Her er hvor definitionen af ​​"cyber-trusselinformation" igen kommer til spil, siger EPICs Scott: "CISPA kræver ikke [et privat selskab] at fjerne eller på anden vis indsnævre de oplysninger, der leveres til regeringen, så længe den falder ind under den brede paraply af oplysninger om cybertrussel. "

Sikkerhedseksperter ser efter tendenser, forekomsten af ​​visse adfærd og formeringsmønstre for malware-ikke ved personlige oplysninger. -David LeDuc, SIIA Selvom det synes at være fornuftigt for det leverende selskab at fjerne PII fra de data, de deler, under CISPA falder opgaven til regeringen. David LeDuc er senior direktør for offentlig politik for Software & Information Industry Association, en stor handelsgruppe, der repræsenterer softwareudviklere og digitale indholdsvirksomheder, der understøtter CISPA. LeDuc downplays betydningen af ​​PII i cybersikkerhed og siger, at det ikke er de interesser, fagfolk er involveret i at bekæmpe cyberkriminalitet. "Sikkerhedseksperter kigger efter tendenser," siger han, "udbredelsen af ​​visse adfærd og formeringsmønstre for malware-ikke ved personlige oplysninger."

LeDuc påpeger også, at CISPA blev ændret fra at gøre statsbaseret minimering valgfri til at gøre det er obligatorisk. "Den føderale regering skal minimere de oplysninger, den modtager fra den private sektor, for at udlevere oplysninger om specifikke personer, der ikke er nødvendige for at reagere på en cybertrussel," siger han.

Dette ændringsforslag omhandler imidlertid ikke spørgsmålet om, hvad der sker med data, der deles mellem private virksomheder. Fordi kun regeringen har arbejdet med at minimere PII under CISPA, kan private virksomheder dele relativt PII-rige data indbyrdes uden at gøre noget for at minimere. I præsidentens afstemning om CISPA fremhævede repræsentant Adam Schiff (D-Californien) hans misbilligelse. "Private enheder kan dele oplysninger med hinanden uden at skulle gå igennem regeringen," sagde han. "Hvordan kan regeringen i så fald minimere, hvad den aldrig besidder? Så minimalisering af regeringens side alene, hvilket er alt dette lovforslag indeholder, er ikke nok. "

Kongresmedlem Schiff havde indført et ændringsforslag for at løse dette smuthul, men han klager over, at CISPAs sponsorer aldrig førte det til Parlamentet for afstemning.

Hvad private virksomheder bryr sig om: retssager

Under hele denne snak om at dele og minimere, hvad CISPA virkelig synes at dreje sig om, er at beskytte de virksomheder, der forsyner dataene fra at blive sagsøgt for at gøre det. På spørgsmålet om, hvad der var det vigtigste for forbrugerne at vide om CISPA, sagde SIIAs LeDuc, at ansvarsrisici var imod cybersikkerhedsindsatsen. "Desværre er der under den nuværende lovgivningsmæssige ramme risici for lovgivningsmæssige eller retlige foranstaltninger for at dele oplysninger, som de mener kunne være værdifulde for at forhindre eller afbøde en cybersikkerhedsrisiko eller -hændelse," siger han.

De fleste af os har ingen anelse om, hvorvidt vores data bliver brugt eller misbrugt, medmindre det kommer tilbage til at bide os.

Udsigten til tvister er noget malerisk. Når alt kommer til alt, med disse enorme data-scanningsindsatser, vil de fleste af os ikke have nogen idé om, hvorvidt vores data bliver brugt eller misbrugt, medmindre det kommer tilbage til at bide os. Hvis det skulle ske, ville det være rart at have en proces til retssager. Her igen gør CISPAs vage sprog privatlivet sværere at beskytte. ACLU's Richardson siger, "Det er ikke bare det, du kan dele, men alle beslutninger du laver baseret på de informationer, der er delt, immuniseres også. De bruger faktisk dette udtryk, 'beslutninger foretaget', hvilket er utroligt bredt. '

' God tro 'dækker en masse velmenende skader

Men SIIAs LeDuc insisterer på, at der er en proces. "Individuelle borgere mister ikke deres evne til at sagsøge eller udnytte domstolene til afhjælpning", siger han. "Enhver situation, hvor et firma har vist sig at ikke handle i god tro," ville de sandsynligvis være ansvarlig for at skade et individ. "

Reitman fra EFF siger, at forsiden af" god tro "også nemt kunne gå langt. Beskyttet mod ansvar kunne virksomheder dele mere data mere frit. For eksempel siger Reitman, "Netflix kunne give regeringen en liste over navne, kreditkortnumre, hjemmeadresser og kontoaktivitet for alle, der kiggede på filmen Hackers i de tre uger, der førte op til Netflix lider et mildt DDOS-angreb. "CISPA giver i øjeblikket civilt tilsyn med dataudveksling via Department of Homeland Security og andre enheder, men hvis dataene så bliver sendt videre til en militær enhed, ophører tilsynet."

"" Vi ville aldrig ved hvad de gjorde med disse data, "siger Reitman. "Vi tror ikke, det ville være i god tro, men det ville være svært for kunderne at opdage og senere bevise." CISPA må ikke komme langt

Dette er CISPAs andet forsøg på at vinde senat godkendelse, og dens succes er langt fra visse - især i betragtning af præsidentens klart fastlagte vilje til at veto CISPA i sin nuværende form. Selvom der ikke er noget lovforslag, er det modstandere, der peger på CISPAs vaghed og smuthuller som spilstoppere. ACLUs Richardson siger, "Folk taler om, at Kina bryder ind og stjæler intellektuel ejendomsret. Hvis de havde skrevet et lovforslag om det, ville vi have færre klager. CISPA er bredt og fejler en stor hverdag. "

CISPA viser den komplicerede snoethed mellem online-beskyttelse af privatlivets fred og cybersikkerhed.

Senatorer forbereder også alternativ lovgivning om cybersikkerhed - selvom det ikke fungerede sidste år, enten. Senator John D. (Jay) Rockefeller (D-West Virginia) sponsorerer Cybersecurity og American Cyber ​​Competitiveness Act of 2013 (da han gjorde en lignende indsats i 2012, der blev stoppet). I en pressemeddelelse, der blev offentliggjort efter afstemningen i Parlamentet om CISPA, sagde senator Rockefeller: "Dagens handling i Parlamentet er vigtig, selvom CISPAs privatlivsbeskyttelse er utilstrækkelig. Vi har brug for handling på alle de elementer, der vil styrke vores cybersikkerhed, ikke kun en, og det er, hvad senatet vil nå. "Senere i denne uge sagde senator Dianne Feinstein (D-Californien), en medsponsor for samme regning, "Vi udarbejder for øjeblikket en todelt informationsdelingsregning og vil fortsætte, så snart vi kommer til en aftale."

Regningen som det står viser den komplicerede snoethed mellem online privatlivets fred og cybersikkerhedsindsats. ACLU's Richardson mener, at CISPA vil inspirere Senatet til at finde en bedre løsning. "Alle andre i dette spil ser på noget mere målrettet og strategisk og beskyttelse af privatlivets fred." Det ufuldkomne svar er derude et sted, forhåbentligt med lige så stor beskyttelse for den lille fyr, som der synes at være store data.