Udtalelse: CISPA er ikke den onde, lovgivningsmæssige krænkelse af lovgivningen, som du mener er den

Et lovforslag, der ville fremme en stærkere cybersikkerhed ved at sætte regering og private virksomheder i stand til at dele information, står over for modstand fra privatlivets fred og borgerlige frihedsgrupper. Kontroversen er imidlertid misforstået, og lovgivningen er et skridt i den rigtige retning.

CISPA, eller Cyber ​​Intelligence Sharing and Protection Act, blev introduceret sidste år af de rangerende medlemmer af House Permanent Select Committee on Intelligence-Mike Rogers (R-MI) og nederlandske Ruppersberger (D-MD). Lovgivningen har til formål at skabe rammer for offentlige og private virksomheder om at dele følsomme oplysninger i bestræbelserne på at identificere og blokere cyberangreb mere effektivt.

CISPA har oprindeligt lavet det gennem senatet, opbygget af støtte fra et stort antal high- tech virksomheder som AT & T, Comcast, Oracle, Symantec og Microsoft. Det døde senere på vinstokken dog over bekymringer for storebror spionere på amerikanske borgere. Men nu er det igen: Sidste måned rejste sine kongressponsorer regningen som reaktion på højt profilerede angreb mod amerikanske mål i løbet af det sidste år.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

CISPA er beregnet til at styrke cybersikkerheden, ikke spionere på amerikanske borgere.

CISPA-backlashen

Ja, regningen er tilbage, men CISPA er ikke blevet mere populær siden sidste år. EFF (Electronic Frontier Foundation), ACLU (American Civil Liberties Union) og andre grupper for beskyttelse af privatlivets fred tilpasser sig igen imod lovgivningen. Derudover delte Facebook, en oprindelig tilhænger af lovgivningen, sin støtte i denne uge.

ACLU delte med mig et brev, der blev sendt til kongresmedlemmer Rogers og Ruppersberger på vegne af en koalition af berørte organisationer. Brevet gav udtryk for alvorlige forbehold med CISPA, idet man påpegede manglende civil kontrol over informationsudvekslingsprogrammet; undladelse af at kræve, at private organisationer fjerner personligt identificerbare oplysninger fra data, der er fælles med regeringen og undladelse af at sikre jernklædt beskyttelse af de informationer, der deles.

Kurt Opsahl, senioransvarlig advokat hos EFF, forklarede mig, "Mandiant-rapporten viser, hvor meget nyttig information der kunne deles uden en ny regning … Problemerne [med denne faktura] er grundlæggende og sandsynligvis for dybt at klare med et kompromis. "

Men er ryglækningen berettiget?

Den 16. april 2012 var en ændring af lovforslaget rettet mod at tackle privatlivets bekymringer. Der var spørgsmål om terminologi, så ændringen præciserer, hvad der menes med "cyber threat information" for at sikre en snæver fortolkning, der ikke omfatter "intellektuel ejendomsret".

Nogle udtrykte bekymring over, at regningen ville give ISP'er eller tjenesteudbydere mulighed for at blokere konti eller fjern indhold. Som svar heri angiver ændringsforslaget, at lovgivningen er begrænset til at identificere, indhente og dele informationer om cybertrussel og udtrykker udtrykkeligt, at regningen ikke giver nogen myndighed til at blokere konti eller slette oplysninger.

Ændringen adresserer de vigtigste privatlivspolitiske bekymringer. Det forhindrer enhver information, der er opnået fra at blive brugt til andre formål end den intelligensindsamling, den var beregnet til, og giver mulighed for, at den amerikanske regering bliver sagsøgt, hvis de opnåede oplysninger anvendes på måder, der overtræder begrænsningerne på regningen. Ændringen giver også den amerikanske advokatovervågning tilsyn med at overvåge aktiviteten under CISPA og sikre privatlivet y Sikkerhedsforanstaltninger opretholdes.

Microsoft delte med mig sin officielle erklæring om CISPA, som samtidig understreger privatlivets bekymringer, men anerkender også, at der gøres fremskridt og indebærer Microsofts støtte til de underliggende mål for CISPA:

"Microsoft mener, at enhver foreslået lovgivning skal lette frivillig deling af informationer om cybertrussel på en måde, der gør det muligt for os at respektere de personlige og sikkerhedsmæssige løfter, vi laver til vores kunder. Lovgivningen indført i midten af ​​februar afspejler vigtige ændringer som følge af en aktiv og konstruktiv dialog om en tidligere version af regningen, og at dialogen skal fortsætte. Vi glæder os til at fortsætte med at arbejde med politikere og andre for at forbedre cybersikkerheden, samtidig med at forbrugernes privatliv beskyttes. "- Scott Charney, Corporate Vice President, Troværdig Computing

Hvorfor CISPA?

I slutningen af ​​februar på RSAs sikkerhedskonference satte sig sammen med sponsorrepræsentanterne, Rogers og Ruppersberger. Rogers forklarede motivationen bag at støtte regningen igen. "Mængden af ​​rigdom, der er blevet overført fra USA til steder som Kina, er betagende og farlig," sagde han.

Rogers og Ruppersberger mener, at hvis USA's efterretningstjenester kunne dele klassificerede oplysninger med den private sektor, så sikkerhedsindustrien og private virksomheder vil være bedre bevæbnet til at forsvare sig. På samme måde kan intelligenssamfundet også få gavn af private virksomheder, der deler det, de kender til angreb med regeringen.

Den tovejsdeling af information er afgørende for at se den store billede af sikkerhedstrusler og opdagelse og forebyggelse af angreb. Faktisk vil informationsdeling efter Operation Aurora-angrebene mod Google og andre organisationer give et solidt eksempel på, hvor effektiv en sådan deling kan være. Hvert firma kan vide noget, der mistænkeligt foregår, men måske Se kun ét stykke af puslespillet. Ved at sammenligne noter med andre virksomheder og efterretningstjenester kan brikkerne være loc ked sammen for et mere fuldstændigt billede af angrebet.

Målet er ifølge Rogers at tackle informationsudveksling på en måde, der har bred tosidig støtte og indkøb fra vigtige interessenter i både regeringen og private sektor. Kongressens tilhængere mener, at CISPA er den bedste måde at give regeringen og den private sektor de nødvendige redskaber til at opdage sofistikerede angreb og beskytte mod avancerede, vedvarende trusler.

Hvorfor nu?

Rogers og Ruppersberger re-sendt CISPA efter Præsident Obamas Unionsstat, hvor han opfordrede til at beskytte nationen mod cyberangreb. Har noget ændret i regningen, der adskiller det fra den version, der blev skudt ned? Nej, intet har ændret sig.

Ruppersberger forklarede, at han og Rogers begge er medlemmer af "8 Gang", en gruppe af valgte embedsmænd, der får adgang til nøgleinformationsoplysninger, og som er orienteret om nationale sikkerhedsspørgsmål, der anses for følsomme over for at blive delt mere bredt med resten af ​​kongressen. Han sagde, at han ofte bliver spurgt, hvad der holder ham vågen om natten, og et af hans øverste svar er "cyberangreb."

Vi skal gøre noget for at stoppe følsomme og proprietære data fra at blive stjålet.

Men hvorfor forelægge samme lovgivning igen? Ruppersberger sagde, at trusselskabet er ændret siden sidste år, og der er mere støtte nu for, hvad de forsøger at udføre med CISPA. "Vi bliver udsat, og disse angreb bliver mere aggressive - Washington Post, New York Times, Wall Street Journal, jeg mener finansministeriet, og det fortsætter … Aramco, 30.000 computere slået ud. De blev meget mere aggressive. "

Flyt frem

En kritik af lovforslaget vedrører, hvor meget information private virksomheder vil dele med regeringen. CISPA-modstandere ønsker, at forskellige typer data skal fjernes eller minimeres, inden de sendes til regeringen, men private virksomheder ønsker ikke den ekstra byrde at forsøge at sive gennem data, før de deler det.

Ruppersberger forklarede, at NSA allerede har værktøjer og teknologi til at minimere dataene, når regeringen modtager det, og at dette er et problem, han mener, kan arbejdes igennem. Nogle af de øvrige bekymringer vedrørende CISPA er et spørgsmål om jurisdiktion. Rogers og Ruppersberger ser verden gennem linsen i House Permanent Select Committee on Intelligence, og de har udarbejdet lovgivning for at løse de problemer, de ser inden for dette udvalgs anvendelsesområde.

Så hvor er vi nu? Lovgivningen skal nu gå igennem, og komme igennem komiteen, før den selv har mulighed for at blive stemt om. Derfor er der stadig tid til at arbejde igennem problemer og forhandle kompromiser for at imødegå eventuelle resterende bekymringer. CISPA kræver en hård afbalanceret handling, men det er afgørende for USAs økonomiske og nationale sikkerhedsinteresser, at vi løser truslen om cyberangreb. Hverken regeringen eller den private industri kan tackle problemet alene, så lovgivning som CISPA er nødvendig for at lette den form for deling og samarbejde, vi har brug for.

Synspunkterne i denne artikel er de af kolonneforhandleren og ikke nødvendigvis de af PCWorld.