Privasi berbanding keselamatan siber ketika CISPA datang dalam Senat

Update: Pada Khamis, US News melaporkan bahawa CISPA "hampir pasti akan ditangguhkan," memetik komen yang dibuat oleh wakil yang tidak bernama Jawatankuasa Senat, Perdagangan dan Sains Senat A.S.. US News juga memetik Michelle Richardson, penasihat undang-undang dengan ACLU, yang berkata, "Saya fikir ia sudah mati sekarang. CISPA terlalu kontroversial, ia terlalu luas, itu bukan semata program yang sama yang difikirkan oleh Senat tahun lepas. Richardson menganggarkan ia boleh mengambil masa beberapa bulan untuk membuat undang-undang baru untuk mengundi.

Keselamatan siber dan privasi dalam talian adalah dua kepentingan kritikal yang nampaknya tidak dapat dilalui. Sudah tentu, anda mahu penggodam berniat jahat, spammer, dan lain-lain lowlifes Internet dibawa ke pengadilan-tetapi anda juga ingin melindungi data dalam talian anda.

Sebagian besar pertempuran siber cyber, bagaimanapun, menuntut mengumpul data dalam talian teragregat mengimbasnya untuk jarum yang sukar difahami aktiviti mencurigakan. Data dalam talian anda boleh disapu menjadi salah satu buasir dan diimbas.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda] Langkah pertama dalam memahami bagaimana keselamatan cybersecurity adalah menerima bahawa data dalam talian anda akan diimbas-dan sudah menjadi

Itulah sebabnya anda mahu mengawasi Akta Perkongsian dan Perlindungan Perisikan Cyber ​​(CISPA), yang melepasi Dewan Perwakilan AS minggu lalu dan kini sedang dipertimbangkan oleh Senat, di mana ia kini berada di dalam jawatankuasa. CISPA bertujuan untuk melonggarkan sekatan yang kini mengawal perkongsian data di kalangan penyiasat keselamatan siber. Ini mungkin cukup munasabah, tetapi kontroversi timbul tentang bagaimana data dikendalikan - khususnya, bagaimana ia dikongsi, dan bagaimana maklumat yang dapat dikenal pasti (PII) dikurangkan.

Di samping itu, rang undang-undang mewujudkan tahap imuniti yang tinggi dari tuntutan undang-undang untuk syarikat kerajaan dan swasta yang berkongsi data.

Bila, tidak, jika data anda diimbas dan dikongsi

Langkah pertama dalam memahami bagaimana kerja keselamatan cybersecurity adalah menerima bahawa data dalam talian anda sudah diimbas. Kerajaan, penguatkuasa undang-undang, dan syarikat swasta sedang mencari aktiviti Internet yang mencurigakan. Spammer, botnet, dan hacks berbahaya ke laman-laman seperti Twitter jatuh ke dalam satu kategori jenayah siber yang luas.

CISPA akan membiarkan syarikat swasta berkongsi data yang dianggap sebagai "maklumat ancaman siber."

CISPA akan membiarkan syarikat swasta berkongsi data dengan pegawai penguatkuasa undang-undang dan agensi-agensi kerajaan jika data itu memenuhi syarat seperti apa yang disebut bil "maklumat ancaman siber" yang boleh membantu menyelesaikan jenayah. Kelemahan istilah ini adalah sebahagian besar masalah privasi, kata Jeramie Scott, rakan keselamatan negara di Pusat Maklumat Privasi Elektronik. "Ia menggunakan istilah seperti 'kerentanan ke rangkaian' dan 'ancaman kepada integriti rangkaian' dalam takrifnya yang ditinggalkan kepada sektor swasta untuk mentafsir," kata Scott.

Definisi yang meliputi data cukup samar untuk mengundang oversharing

Ketiadaan CISPA memberikan syarikat swasta banyak ruang untuk menyebarkan maklumat. "Katakanlah laman rangkaian sosial mengalami serangan penafian perkhidmatan," kata Scott. "Laman ini hanya boleh menawarkan butiran diagnostik yang lebih relevan kepada kerajaan, tetapi ia juga boleh memberikan maklumat peribadi pada semua profil yang terlibat-termasuk, contohnya, siapa yang anda sambungkan, dan butiran bio profil-selama rangkaian sosial menganggap bahagian maklumat 'maklumat ancaman siber.' "

Menurut peguam perundangan Michelle Richardson dari American Civil Liberties Union, setiap spam bodoh yang anda terima dari Nigeria boleh membuat permainan anda adil untuk siasatan lanjut. "Ini adalah kejadian setiap hari yang merupakan peristiwa cybersecurity di bawah rang undang-undang," kata Richardson. Rainey Reitman, pengarah aktivisme di Yayasan Frontier Elektronik, mengatakan bahawa perkhidmatan boleh berkongsi apa-apa data yang disifatkan sebagai "maklumat ancaman siber" dan boleh melakukannya "tanpa proses undang-undang, selagi ia 'dengan niat baik' dan ' tujuan cybersecurity. '"

Perkongsian data akan lebih mudah atau automatik

Richardson ACLU menambah bahawa di bawah CISPA, perkongsian data akan lancar-benar-benar lancar. Daripada meneruskan proses di mana kerajaan secara khusus meminta maklumat, "mereka bercakap mengenai beberapa jenis proses yang secara automatik akan memajukan kepada pemerintah," kata Richardson.

Jika data akan dialihkan secara automatik, bila dan bagaimana PII akan dilucutkan dari data menjadi masalah yang lebih besar. Malangnya, tiada siapa yang bercakap mengenai membuat identiti pengguna sepenuhnya tanpa nama. Tidak, orang-orang di belakang CISPA berpuas hati dengan "meminimumkan" semata-semata-upaya untuk menghapuskan PII. Di sinilah definisi "maklumat ancaman siber" sekali lagi dipertandingkan, kata EPIC's Scott: "CISPA tidak memerlukan [syarikat swasta] untuk menghapuskan atau menyempitkan maklumat yang diberikan kepada kerajaan selagi ia jatuh di bawah payung yang luas maklumat ancaman siber. "

Pakar keselamatan mencari trend, kelaziman tingkah laku tertentu, dan corak penyebaran malware - bukan pada maklumat peribadi. -David LeDuc, SIIA Walaupun kelihatannya masuk akal untuk menyediakan syarikat PII dari data yang mereka bagikan, di bawah tugas CISPA itu jatuh kepada pemerintah. David LeDuc adalah pengarah kanan dasar awam untuk Perisian Industri & Maklumat Persatuan, sebuah kumpulan perdagangan utama yang mewakili pemaju perisian dan perniagaan kandungan digital, yang menyokong CISPA. LeDuc memaparkan pentingnya PII dalam keselamatan siber, dengan mengatakan bahawa bukanlah kepentingan profesional yang terlibat dalam memerangi jenayah siber. "Ahli keselamatan mencari trend," katanya, "kelaziman tingkah laku tertentu, dan corak penyebaran malware-bukan pada maklumat peribadi."

LeDuc juga menunjukkan bahawa CISPA telah dipinda daripada membuat pengurangan yang berasaskan kerajaan untuk membuat pilihan ia wajib. "Kerajaan persekutuan mesti meminimumkan maklumat yang diterima daripada sektor swasta untuk mengambil maklumat tentang orang-orang tertentu yang tidak perlu untuk memberi respons kepada ancaman siber," katanya.

Namun, pindaan ini tidak menimbulkan persoalan tentang apa yang berlaku kepada data yang dikongsi antara syarikat swasta. Kerana hanya kerajaan yang mempunyai tugas meminimumkan PII di bawah CISPA, syarikat swasta boleh berkongsi data yang kaya dengan PII di antara mereka tanpa melakukan usaha untuk meminimisasi. Dalam bercakap sebelum undi Dewan di CISPA, Wakil Adam Schiff (D-California) membuat jelas penolakannya. "Entiti swasta dapat berkongsi maklumat antara satu sama lain tanpa pernah melalui kerajaan," katanya. "Dalam keadaan demikian, bagaimanakah kerajaan dapat meminimumkan apa yang tidak dimilikinya? Jadi, minimization pihak kerajaan sahaja, yang mana semua rang undang-undang ini termasuk, tidak mencukupi. "

Kongres Schiff telah memperkenalkan pindaan untuk menangani kelemahan ini, tetapi dia mengadu bahawa penaja CISPA tidak pernah membawanya sebelum Dewan untuk mengundi.

Apa syarikat-syarikat swasta mengambil berat tentang: tuntutan undang-undang

Di bawah semua perkongsian dan pengurangan ini, apa yang dikatakan oleh CISPA adalah melindungi syarikat-syarikat yang menyediakan data daripada didakwa kerana berbuat demikian. Apabila ditanya apakah perkara yang paling penting bagi pengguna untuk mengetahui tentang CISPA, LeDuc SIIA mengatakan bahawa risiko liabiliti telah menghalang usaha keselamatan siber. "Malangnya, di bawah rangka kerja undang-undang semasa, syarikat, atau mana-mana entiti swasta, menghadapi risiko tindakan pengawalseliaan atau undang-undang untuk berkongsi maklumat yang mereka percaya boleh menjadi berharga untuk mencegah atau mengurangkan ancaman atau keselamatan siber," katanya.

Kebanyakan kita tidak tahu sama ada data kita digunakan atau disalahgunakan, kecuali jika ia kembali menggigit kita.

Prospek litigasi agak aneh. Lagipun, dengan usaha pengimbasan data yang besar ini, kebanyakan kita tidak tahu sama ada data kami digunakan atau disalahgunakan, kecuali jika ia kembali menggigit kita. Walau bagaimanapun, sekiranya berlaku, ia akan menjadi lebih baik untuk mempunyai proses untuk mendapatkan bantuan undang-undang. Di sini sekali lagi, bahasa kabur CISPA menjadikan privasi lebih sulit untuk dilindungi. The ACLU's Richardson berkata, "Bukan hanya apa yang anda boleh berkongsi, tetapi apa-apa keputusan yang anda buat berdasarkan maklumat yang dikongsi juga diimunisasi. Mereka sebenarnya menggunakan istilah itu, 'keputusan yang dibuat,' yang sangat luas. "

'Iman yang baik' merangkumi banyak kerosakan yang berniat baik

Tetapi LeDuc SIIA menegaskan bahawa ada proses. "Warganegara individu tidak kehilangan kemampuan mereka untuk mendakwa atau menggunakan mahkamah untuk mendapatkan ganti rugi," katanya. "Mana-mana kes di mana sebuah syarikat telah didapati tidak bertindak dengan 'baik hati', mereka mungkin bertanggungjawab untuk membahayakan seseorang."

Reitman of the EFF mengatakan bahawa penutup "niat baik" dengan mudah boleh juga jauh. Dilindungi daripada liabiliti, syarikat boleh berkongsi lebih banyak data dengan lebih bebas. Contohnya, kata Reitman, "Netflix boleh memberi senarai senarai nama, nombor kad kredit, alamat rumah dan aktiviti akaun kepada kerajaan untuk semua orang yang menonton filem Hacker dalam tempoh tiga minggu sebelum Netflix menderita serangan DDOS yang ringan. "CISPA kini menyediakan pengawasan awam untuk perkongsian data melalui Jabatan Keselamatan Dalam Negeri dan entiti lain, tetapi jika data itu kemudian diluluskan kepada entiti ketenteraan, pengawasan berakhir.

" Kami tidak akan pernah tahu apa yang mereka lakukan dengan data itu, "kata Reitman. "Kami tidak fikir ia akan menjadi niat baik, tetapi sukar bagi para pelanggan untuk mengetahui dan kemudian membuktikan."

CISPA mungkin tidak jauh

Ini adalah usaha kedua CISPA untuk memenangi kelulusan Senat, dan kejayaannya jauh dari tertentu-terutamanya memandangkan niat yang dinyatakan oleh Presiden untuk mengosongkan CISPA dalam bentuknya sekarang. Walaupun tidak ada undang-undang yang sempurna, lawan menunjuk ke ketidakjelasan dan kelemahan CISPA sebagai penyekat permainan. ACLU's Richardson berkata, "Orang ramai bercakap mengenai China memecah masuk dan mencuri harta intelek. Jika mereka telah menulis rang undang-undang tentang itu, kami akan mempunyai sedikit aduan.

Senator juga menyediakan undang-undang keselamatan siber alternatif-walaupun itu tidak berfungsi pada tahun lalu, sama ada. Senator John D. (Jay) Rockefeller (D-West Virginia) menaja Akta Daya Saing Cybersecurity dan Amerika Cyber ​​of 2013 (kerana dia melakukan usaha sama 2012 yang terhenti). Dalam siaran akhbar yang disiarkan selepas undi Dewan di CISPA, Senator Rockefeller berkata, "Tindakan hari ini di Rumah adalah penting, walaupun perlindungan privasi CISPA tidak mencukupi. Kami memerlukan tindakan ke atas semua unsur yang akan memperkuat keselamatan siber kami, bukan hanya satu, dan itulah yang akan dicapai oleh Senat. "Semula awal minggu ini, Senator Dianne Feinstein (D-California), penaja bersama bil yang sama, berkata, "Kami sedang merangka rang undang-undang perkongsian maklumat bipartisan dan akan diteruskan sebaik sahaja kami mencapai persetujuan."

Rang undang-undang seperti ini menunjukkan tantangan perang rumit antara privasi dalam talian dan usaha keselamatan siber. Richardson ACLU percaya bahawa CISPA akan memberi inspirasi kepada Senat untuk mencari penyelesaian yang lebih baik. "Semua orang dalam permainan ini melihat sesuatu yang lebih disasarkan dan strategik dan privasi dilindungi." Jawapan yang tidak sempurna ada di luar sana, semoga dengan begitu banyak perlindungan untuk lelaki kecil itu kerana nampaknya untuk data besar.