Critiche: la CISPA è ancora una legge di sorveglianza governativa

Una commissione della Camera dei Rappresentanti degli Stati Uniti non è riuscita a fare i cambiamenti necessari per placare i timori sulla sorveglianza del governo in un controverso disegno di legge sul cyberthreat che si sta muovendo verso un voto della Camera, hanno detto i critici.

The House Intelligence Committee, votando 18-2 mercoledì per approvare la Cyber ​​Intelligence Sharing and Protection Act (CISPA), non ha sollevato dubbi sul fatto che il disegno di legge consentirebbe alle società private di condividere troppe informazioni con le agenzie governative in nome della lotta agli attacchi informatici, gruppi per i diritti digitali

I dirigenti della commissione si aspettano che l'intero Parlamento voti sulla CISPA non appena la settimana prossima.

[Ulteriori letture: Come rimuovere il malware da Windows PC]

"I cyberhacker di stati-nazione come Cina, Russia e Iran si stanno infiltrando nelle reti informatiche americane, rubando miliardi di dollari all'anno in proprietà intellettuale e minando l'innovazione tecnologica nel cuore dell'economia americana," Chairman Chairman Mike Rogers, un repubblicano del Michigan e cosponsor del disegno di legge, ha dichiarato in una nota. "Questo disegno di legge compie un solido passo avanti nell'aiutare le aziende americane a proteggere le loro reti da questi cyber-saccheggiatori".

Ma i gruppi per i diritti digitali hanno affermato che il disegno di legge ha ancora grossi difetti. "I cambiamenti che sono stati offerti durante il markup a porte chiuse non fanno nulla per affrontare le specifiche preoccupazioni che abbiamo espresso sul conto per mesi", ha dichiarato Evan Greer, responsabile della campagna del gruppo per i diritti digitali Fight for the Future.

The La legge permetterà alle società private di condividere una vasta gamma di informazioni sui clienti che ritengono essere correlate alle minacce informatiche con agenzie statunitensi come l'Agenzia per la sicurezza nazionale, Greer ha detto in una email.

"La versione della CISPA che è passata ieri dalla Commissione ha diversi emendamenti che lo fanno apparire meglio in superficie, ma non fanno nulla per affrontare il difetto fondamentale del disegno di legge, che è che consente comunque enormi quantità di dati di utenti privati ​​da condividere con agenzie segrete ", ha aggiunto. "Fornisce ancora ampie protezioni legali per le società che condividono i nostri dati."

Se gli sponsor della CISPA non vogliono che si tratti di una bolletta di sorveglianza, dovrebbero apportare ulteriori cambiamenti, ha aggiunto Greer. "Se è vero, c'è una soluzione facile: scrivilo nel conto", ha aggiunto.

Gli sponsor e alcuni altri legislatori hanno difeso il disegno di legge, affermando che fornisce una significativa protezione della privacy. La commissione ha accettato un emendamento del deputato Jim Langevin, un democratico del Rhode Island, che proibisce alle società di contrattaccare o di attaccare i cyberattacchieri dopo che i gruppi per i diritti digitali hanno espresso preoccupazione sul fatto che il linguaggio della legge potesse consentire tale attività.

Langevin ha elogiato il disegno di legge, dice che è necessaria una maggiore condivisione di informazioni sul cyberthreat, ma ha anche suggerito che la CISPA "non è una soluzione definitiva alla sicurezza informatica".

"Mentre [il disegno di legge] promette di migliorare notevolmente la consapevolezza della situazione, la condivisione delle informazioni da sola non ci permetterà di prevenire ogni attacco ", ha detto in una dichiarazione. "La nostra infrastruttura più vulnerabile e preziosa deve rispettare gli standard minimi di cybersecurity al fine di ridurre al minimo il rischio di un grande attacco informatico che potrebbe lasciare milioni senza elettricità o acqua potabile per un lungo periodo di tempo."

Un altro emendamento approvato dal comitato sarebbe limitare l'uso da parte del settore privato di qualsiasi informazione sulla sicurezza informatica ricevuta solo per gli usi della sicurezza informatica. Alcuni gruppi di diritti e privacy digitali si erano chiesti se il disegno di legge avrebbe consentito alle aziende di utilizzare le informazioni cyberthreat ricevute per altri scopi.

Il comitato ha anche rimosso la lingua dalla legge per consentire al governo di utilizzare i dati raccolti sotto CISPA "per la sicurezza nazionale scopi ", nel tentativo di restringere l'uso delle informazioni da parte del governo.

Ma Greer si chiedeva se fosse un miglioramento sostanziale. Il cambiamento è "non una vera soluzione", ha detto. "Il termine 'sicurezza informatica' è così poco definito nel disegno di legge che non fornisce limitazioni significative su cosa può essere fatto con i dati raccolti".

Gli sponsor del disegno di legge affermano che contiene diverse protezioni sulla privacy. La CISPA proibisce al governo di costringere le entità del settore privato a fornire informazioni al governo e incoraggia le società private a "anonimizzare" o "minimizzare" le informazioni che condivide volontariamente con il governo, hanno detto gli sponsor.

Il disegno di legge consente anche alle persone di citare in giudizio il governo federale per danni alla privacy, costi e spese legali in tribunale federale e richiede una revisione annuale del programma di condivisione delle informazioni da parte dell'ispettore generale dell'intelligence. Il CISPA andrà al tramonto tra cinque anni.

Tuttavia, il rappresentante Adam Schiff, un democratico della California, ha detto di essere deluso dal fatto che la commissione abbia respinto il suo emendamento che avrebbe richiesto alle aziende di compiere sforzi ragionevoli per rimuovere le informazioni private non correlate dalle informazioni sul cyberthreat che condividono.

"Non è troppo chiedere alle aziende di assicurarsi che non inviino informazioni private sui loro clienti, i loro clienti e i loro dipendenti alle agenzie di intelligence, insieme a informazioni di sicurezza informatica autentiche", ha affermato in una nota.

Tra i gruppi che sostengono il disegno di legge sono stati la BSA e la Software and Information Industry Association, entrambi i gruppi commerciali del software. La CISPA "fornirebbe il quadro critico necessario per l'individuazione precoce e la notifica delle minacce alla cibersicurezza", ha affermato la SIIA.