La privacy contro la sicurezza informatica come la legge CISPA arriva al Senato

Aggiornamento: Giovedì, la US News ha riferito che la CISPA "sarà quasi certamente accantonata", citando i commenti fatti da un anonimo rappresentante del Comitato del Senato degli Stati Uniti su Commercio, Scienza e Trasporti. US News ha anche citato Michelle Richardson, consulente legale dell'ACLU, che ha detto: "Penso che sia morto per ora, la CISPA è troppo controversa, è troppo espansiva, non è lo stesso tipo di programma contemplato dal Senato l'anno scorso". Richardson stima che potrebbero passare diversi mesi prima che la nuova legislazione arrivi al voto.

La sicurezza informatica e la privacy online sono due interessi fondamentali che sembrano destinati a non andare mai d'accordo. Certo, vuoi hacker malevoli, spammer e altri Internet lowlifes assicurati alla giustizia, ma vuoi anche proteggere i tuoi dati online.

Gran parte della lotta al crimine informatico, tuttavia, richiede la raccolta di dati aggregati online di un mucchio di paglia e scansionandolo per un ago sfuggente di attività sospette. I tuoi dati online potrebbero essere raccolti in una di queste pile e scansionati. Quello che succede lungo la strada è l'intuizione di chiunque.

[Ulteriori informazioni: Come rimuovere il malware dal tuo PC Windows] Il primo passo per capire come funziona la sicurezza informatica è accettare che i tuoi dati online vengano scansionati e che sia già in corso

Ecco perché vorrete tenere d'occhio il Cyber ​​Intelligence Sharing and Protection Act (CISPA), che ha approvato la Camera dei Rappresentanti degli Stati Uniti la scorsa settimana e che ora viene esaminato dal Senato, dove è attualmente in commissione. La CISPA mira ad allentare le restrizioni che attualmente governano la condivisione dei dati tra gli investigatori della sicurezza informatica. Potrebbe sembrare abbastanza ragionevole, ma la controversia si pone sul modo in cui i dati vengono gestiti, in particolare su come è condiviso e su come vengono ridotte al minimo le informazioni personali (PII).

Inoltre, il disegno di legge crea un alto livello di immunità dalle cause per il governo e le società private che condividono i dati. Questo non è esattamente confortante quando condividono i tuoi dati.

Quando, non se, i tuoi dati sono scansionati e condivisi

Il primo passo per capire come funziona la sicurezza informatica è accettare che i tuoi dati online siano già stati scansionati. Governo, forze dell'ordine e società private sono alla ricerca di attività Internet sospette. Spammer, botnet e hacker dannosi in siti come Twitter rientrano in un'ampia categoria di cybercrime. Ancora più preoccupanti sono i tentativi di attaccare "infrastrutture critiche" (come le reti elettriche e idriche e le reti di comunicazione) o civili.

La CISPA consentirebbe alle società private di condividere i dati considerati "informazioni sulla minaccia cibernetica".

La CISPA consentirebbe alle società private di condividere i dati con i funzionari delle forze dell'ordine e le agenzie governative se i dati si qualificano come ciò che il disegno di legge chiama "informazioni sulle minacce informatiche" che potrebbero aiutare a risolvere un crimine. La vaghezza di questo termine è una parte importante del problema della privacy, afferma Jeramie Scott, responsabile della sicurezza nazionale presso il Centro informazioni sulla privacy elettronico. "Utilizza termini come" vulnerabilità a una rete "e" minaccia all'integrità di una rete "nella sua definizione che sono lasciati al settore privato da interpretare", afferma Scott.

Le definizioni che coprono i dati sono abbastanza vaghe da invitare l'oversharing

L'indeterminatezza della CISPA offre alle società private molte possibilità di sovrascrivere le informazioni. "Dire che un sito di social networking subisce un attacco denial-of-service", dice Scott. "Il sito potrebbe offrire i dettagli diagnostici più pertinenti al governo, ma potrebbe anche fornire le informazioni personali su tutti i profili interessati, tra cui, ad esempio, con chi si è connessi e profilo dei dettagli bio, purché il social network considerava l'informazione parte delle "informazioni sulle minacce informatiche". "

Secondo la consulente legale Michelle Richardson dell'American Civil Liberties Union, ogni stupido spam che ricevi dalla Nigeria potrebbe rendere il tuo gioco giusto per ulteriori indagini. "Si tratta di eventi quotidiani che sono soggetti a eventi di cybersicurezza", afferma Richardson. Rainey Reitman, direttore attivista presso la Electronic Frontier Foundation, afferma che un servizio potrebbe condividere tutti i dati che considera "informazioni sulla minaccia cibernetica" e potrebbe farlo "senza processo legale, fintanto che fosse in" buona fede "e per un" "

La condivisione dei dati sarà più semplice o automatica

Richardson di ACLU aggiunge che in CISPA, la condivisione dei dati sarà semplice, senza problemi. Invece di passare attraverso un processo in cui il governo richiede specificamente informazioni, "stanno parlando di una sorta di processo che invierà automaticamente cose al governo", dice Richardson.

Se i dati verranno instradati automaticamente, quando e in che modo le PII vengono rimosse dai dati diventa un problema più grande. Sfortunatamente, nessuno sta parlando di rendere le identità utente completamente anonime. No, le persone dietro la CISPA sono soddisfatte della mera "minimizzazione", facendo uno sforzo ragionevole per rimuovere le PII. È qui che entra in gioco la definizione di "informazioni sulle minacce informatiche", afferma Scott di EPIC: "CISPA non richiede [una società privata] di rimuovere o altrimenti limitare le informazioni fornite al governo fintanto che rientra nell'ombrello delle informazioni sulle minacce informatiche. "

Gli esperti di sicurezza cercano le tendenze, la prevalenza di determinati comportamenti e schemi di propagazione per il malware, non le informazioni personali. -David LeDuc, SIIA Anche se sembrerebbe ragionevole per la società fornitrice eliminare le PII dai dati che condividono, in CISPA tale compito ricade sul governo. David LeDuc è senior director of public policy per la Software & Information Industry Association, un importante gruppo commerciale che rappresenta gli sviluppatori di software e le attività di contenuti digitali, che supporta CISPA. LeDuc minimizza l'importanza delle PII nella sicurezza informatica, affermando che non è ciò che interessa ai professionisti impegnati nella lotta alla criminalità informatica. "Gli esperti di sicurezza cercano le tendenze", afferma, "la prevalenza di determinati comportamenti e modelli di propagazione del malware, non delle informazioni personali."

LeDuc sottolinea inoltre che il CISPA è stato modificato per rendere facoltativa la minimizzazione basata sul governo è obbligatorio. "Il governo federale deve ridurre al minimo le informazioni che riceve dal settore privato per ottenere informazioni su persone specifiche non necessarie per rispondere a una minaccia informatica", afferma.

Tuttavia, questo emendamento non affronta la questione di cosa succede a dati condivisi tra aziende private. Poiché solo il governo ha il compito di ridurre al minimo le PII nell'ambito della CISPA, le società private possono condividere tra loro dati relativamente ricchi di PII senza fare alcuno sforzo per minimizzare. Parlando prima del voto della Camera sulla CISPA, il rappresentante Adam Schiff (D-California) ha chiarito la sua disapprovazione. "Le entità private possono condividere le informazioni tra loro senza mai passare attraverso il governo", ha detto. "In quelle circostanze, come può il governo minimizzare ciò che non possiede mai? La sola minimizzazione da parte del governo, che comprende tutto questo, non è sufficiente. "

Il deputato Schiff ha presentato un emendamento per affrontare questa scappatoia, ma si lamenta che gli sponsor della CISPA non l'hanno mai portato davanti alla Camera per un voto.

A cosa interessano le società private: cause legali

Al di là di tutto questo discorso sulla condivisione e la riduzione al minimo, ciò di cui CISPA sembra davvero riguardare è la protezione delle società che forniscono i dati di essere citati in giudizio per averlo fatto. Alla domanda su quale fosse la cosa più importante per i consumatori di sapere sulla CISPA, LeDuc di SIIA ha affermato che i rischi di responsabilità hanno ostacolato gli sforzi di cybersecurity. "Sfortunatamente, sotto l'attuale quadro legale, le aziende, o qualsiasi entità privata, affrontano il rischio di azioni legali o regolatorie per condividere informazioni che ritengono possano essere preziose per prevenire o mitigare una minaccia o un incidente di sicurezza informatica", afferma.

La maggior parte di noi non avrà idea se i nostri dati vengano utilizzati o utilizzati in modo improprio, a meno che non ritorni a morderci.

La prospettiva di contenzioso è alquanto singolare. Dopotutto, con questi enormi sforzi di scansione dei dati, la maggior parte di noi non avrà idea se i nostri dati vengano utilizzati o utilizzati in modo improprio, a meno che non ritorni a morderci. Se ciò dovesse accadere, tuttavia, sarebbe bello avere un processo per il ricorso legale. Anche in questo caso, il linguaggio vago della CISPA rende la privacy più difficile da proteggere. Richardson dell'ACLU afferma: "Non è solo ciò che puoi condividere, ma anche le decisioni che prendi in base alle informazioni condivise sono immunizzate. In realtà usano quel termine, "decisioni prese", che è incredibilmente ampio. "

'Buona fede' copre un sacco di danni ben intenzionati

Ma il LeDuc di SIIA insiste che c'è un processo. "I singoli cittadini non perdono la capacità di denunciare o utilizzare i tribunali per ottenere riparazione", afferma. "Ogni caso in cui una società è stata trovata non agire in" buona fede ", sarebbe probabilmente responsabile per danni a un individuo."

Reitman del FEP dice che la copertura di "buona fede" potrebbe facilmente andare anche lui lontano. Protetto dalla responsabilità, le aziende potrebbero condividere più dati più liberamente. Ad esempio, afferma Reitman, "Netflix potrebbe fornire al governo un elenco di nomi, numeri di carte di credito, indirizzi di casa e attività dell'account per tutti coloro che hanno guardato il film Hacker durante le tre settimane precedenti a Netflix subendo un blando attacco DDOS. "La CISPA attualmente prevede il controllo civile della condivisione dei dati attraverso il Dipartimento della Sicurezza Nazionale e altre entità, ma se i dati vengono trasferiti a un'entità militare, la supervisione finisce.

" Non lo faremo mai sapere cosa hanno fatto con quei dati ", dice Reitman. "Non pensiamo che sarebbe in buona fede, ma sarebbe difficile per i clienti scoprire e dimostrare più tardi."

La CISPA potrebbe non arrivare lontano

Questo è il secondo tentativo della CISPA di ottenere l'approvazione del Senato, e il suo successo è tutt'altro che certo, soprattutto data la chiara intenzione dichiarata dal Presidente di porre il veto alla CISPA nella sua forma attuale. Sebbene nessun atto legislativo sia perfetto, gli avversari puntano alla vaghezza e alle scappatoie della CISPA come stopper del gioco. Richardson di ACLU afferma: "Le persone parlano della Cina che irrompe e ruba proprietà intellettuale. Se avessero scritto una proposta di legge, avremmo meno reclami. La CISPA è ampia e trascina molte attività quotidiane. "

La CISPA mostra il complicato braccio di ferro tra la privacy online e gli sforzi per la sicurezza informatica.

I senatori stanno anche preparando una legislazione alternativa sulla cibersicurezza - sebbene ciò non abbia funzionato l'anno scorso,. Il senatore John D. (Jay) Rockefeller (D-West Virginia) sta sponsorizzando la Cybersecurity e la American Cyber ​​Competitiveness Act del 2013 (come ha fatto un simile tentativo del 2012 che si è fermato). In un comunicato stampa pubblicato dopo il voto della Camera sulla CISPA, il senatore Rockefeller ha dichiarato: "L'azione odierna in Parlamento è importante, anche se le tutele della privacy della CISPA sono insufficienti. Abbiamo bisogno di agire su tutti gli elementi che rafforzeranno la nostra sicurezza informatica, non solo uno, ed è ciò che il Senato otterrà. "Raggiunta all'inizio di questa settimana, la senatrice Dianne Feinstein (D-California), co-sponsor della stessa legge, ha detto "Stiamo attualmente elaborando un progetto di condivisione delle informazioni bipartisan e procederemo non appena avremo raggiunto un accordo".

Il disegno di legge mostra il complesso tiro alla fune tra la privacy online e gli sforzi di sicurezza informatica. Richardson dell'ACLU ritiene che la CISPA ispirerà il Senato a trovare una soluzione migliore. "Tutti gli altri in questo gioco stanno cercando qualcosa di più mirato e strategico e protetto dalla privacy." La risposta imperfetta è là fuori da qualche parte, si spera con la stessa protezione per il piccoletto come sembra esserci per i big data.