Opinione: CISPA non è la malvagia legislazione sulla violazione della privacy che pensi sia

Un disegno di legge che promuova una maggiore sicurezza informatica consentendo alle aziende del settore pubblico e privato di condividere informazioni è di fronte all'opposizione della privacy e gruppi di libertà civili. La polemica è fuorviata, tuttavia, e la legislazione è un passo nella giusta direzione.

La CISPA, o la legge sulla protezione e la protezione dei cyber-intelligence, è stata introdotta l'anno scorso dai membri della classifica del Comitato permanente permanente della Camera sull'intelligence-Mike Rogers (R-MI) e Dutch Ruppersberger (D-MD). L'obiettivo della legislazione è quello di stabilire un quadro per le società governative e private per condividere le informazioni sensibili nello sforzo di identificare e bloccare più efficacemente gli attacchi informatici.

La CISPA inizialmente passò attraverso il Senato, sostenuta dal sostegno di un gran numero di aziende tecnologiche come AT & T, Comcast, Oracle, Symantec e Microsoft. Più tardi morì sulla vite, tuttavia, per le preoccupazioni del Grande Fratello che spiano i cittadini americani. Ma ora è tornato di nuovo: il mese scorso, i suoi sponsor del Congresso hanno riesumato il conto in risposta agli attacchi di alto profilo contro obiettivi americani nel corso dell'ultimo anno.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

CISPA è inteso a rafforzare la sicurezza informatica, non a spiare i cittadini americani.

Il contraccolpo della CISPA

Sì, il disegno di legge è tornato, ma la CISPA non è diventata più popolare dall'anno scorso. L'EFF (Electronic Frontier Foundation), l'ACLU (American Civil Liberties Union) e altri gruppi di difesa della privacy si stanno allineando per opporsi nuovamente alla legislazione. Inoltre, Facebook, un originale sostenitore della legislazione, ha appena rescisso il suo sostegno questa settimana.

L'ACLU ha condiviso con me una lettera che è stata inviata ai membri del Congresso Rogers e Ruppersberger a nome di una coalizione di organizzazioni interessate. La lettera esprimeva serie riserve nei confronti della CISPA, evitando di stabilire un controllo civile sul programma di condivisione delle informazioni; incapacità di imporre alle organizzazioni private di eliminare le informazioni di identificazione personale dai dati condivisi con il governo; e il fallimento di garantire la protezione rivestita di ferro per le informazioni che sono condivise.

Kurt Opsahl, procuratore senior con EFF, mi ha spiegato: "Il rapporto Mandiant mostra quante informazioni utili potrebbero essere condivise senza un nuovo conto … I problemi [con questo disegno di legge] sono fondamentali, e probabilmente troppo profondi per essere risolti con un compromesso. "

Ma è il contraccolpo garantito?

Il 16 aprile 2012, un emendamento al disegno di legge mirava ad affrontare i problemi di privacy. Ci sono state domande sulla terminologia, quindi l'emendamento chiarisce cosa si intende per "informazione sulle minacce informatiche" per garantire un'interpretazione più ristretta che non include "proprietà intellettuale".

Alcuni hanno espresso il timore che il disegno di legge autorizzerebbe gli ISP oi fornitori di servizi a bloccare account o rimuovere il contenuto. In risposta, l'emendamento specifica che la legislazione si limita a identificare, ottenere e condividere le informazioni sulle minacce informatiche e afferma espressamente che la legge non fornisce alcuna autorità per bloccare account o eliminare informazioni.

La modifica Affronta i principali problemi di privacy, impedendo che qualsiasi informazione ottenuta venga utilizzata per scopi diversi dall'intelligence che essa raccoglieva e consente al governo degli Stati Uniti di essere citato in giudizio se le informazioni ottenute vengono utilizzate in modo da violare i limiti posti La legge dà anche la supervisione del Procuratore Generale degli Stati Uniti per monitorare le attività nell'ambito della CISPA e garantire la privac

Microsoft ha condiviso con me la sua dichiarazione ufficiale su CISPA, che sottolinea allo stesso tempo le preoccupazioni sulla privacy, ma riconosce anche che si stanno facendo progressi e implica il supporto di Microsoft per gli obiettivi sottostanti di CISPA:

"Microsoft ritiene che qualsiasi legislazione proposta dovrebbe facilitare la condivisione volontaria delle informazioni sulle minacce informatiche in un modo che ci consenta di onorare le promesse sulla privacy e sulla sicurezza che offriamo ai nostri clienti. La legislazione introdotta a metà febbraio riflette importanti cambiamenti derivanti da un dialogo attivo e costruttivo su una versione precedente del disegno di legge e che il dialogo deve continuare. Non vediamo l'ora di continuare a collaborare con i responsabili delle politiche e con altri per migliorare la sicurezza informatica proteggendo al contempo la privacy dei consumatori. "- Scott Charney, Vicepresidente aziendale, Trustworthy Computing

Perché CISPA?

Alla fine di febbraio alla conferenza di sicurezza RSA, I si è seduto con i rappresentanti sponsor, Rogers e Ruppersberger. Rogers ha spiegato ancora una volta la motivazione alla base del sostegno al progetto di legge. "La quantità di ricchezza che è stata trasferita dagli Stati Uniti in posti come la Cina è mozzafiato e pericolosa", ha detto.

Rogers e Ruppersberger credono che se le agenzie di intelligence degli Stati Uniti potrebbero condividere informazioni riservate con il settore privato, allora L'industria della sicurezza e le società private saranno meglio armate per difendersi e, analogamente, la comunità dell'intelligence potrebbe anche trarre vantaggio da società private che condividono ciò che sanno sugli attacchi con il governo.

La condivisione bidirezionale delle informazioni è vitale per vedere il grande l'immagine delle minacce alla sicurezza e l'individuazione e la prevenzione degli attacchi: infatti, la condivisione delle informazioni in seguito agli attacchi dell'operazione Aurora contro Google e altre organizzazioni fornisce un solido esempio dell'efficacia di tale condivisione. Ogni azienda potrebbe sapere qualcosa di sospetto, ma potrebbe vedi solo un pezzo del puzzle: confrontando le note con altre compagnie e agenzie di intelligence, i pezzi possono essere loc

L'obiettivo, secondo Rogers, è quello di affrontare la condivisione delle informazioni in un modo che abbia un sostegno ampio e bipartisan e il coinvolgimento dei principali stakeholder sia nel governo sia nel governo. settore privato. I sostenitori del Congresso ritengono che la CISPA sia il modo migliore per fornire al governo e al settore privato gli strumenti necessari per rilevare attacchi sofisticati e proteggersi da minacce avanzate e persistenti.

Perché ora?

Rogers e Ruppersberger hanno ripresentato la CISPA in seguito Il discorso del Presidente Obama sullo stato dell'Unione, nel quale ha chiesto di proteggere la nazione dagli attacchi informatici. Qualcosa è cambiato nel conto che lo differenzia dalla versione che è stata abbattuta? No, nulla è cambiato.

Ruppersberger ha spiegato che lui e Rogers sono entrambi membri della "Gang of Eight", un gruppo di funzionari eletti a cui è dato accesso a informazioni chiave sull'intelligence e che sono stati informati anche su questioni di sicurezza nazionale sensibili da condividere in modo più ampio con il resto del Congresso. Ha detto che gli viene spesso chiesto cosa lo trattiene sveglio la notte, e una delle sue migliori risposte è "attacchi informatici".

Dobbiamo agire per impedire che vengano rubati dati sensibili e proprietari.

Ma perché inviare stessa legislazione ancora una volta? Ruppersberger ha detto che il panorama delle minacce è cambiato rispetto all'anno scorso e ora c'è più supporto per ciò che stanno cercando di ottenere con CISPA. "Siamo esposti, e questi attacchi stanno diventando più aggressivi: il Washington Post, il New York Times, il Wall Street Journal, intendo il Dipartimento del Tesoro, e continua … Aramco, 30.000 computer messi fuori uso. Sono diventati molto più aggressivi. "

Andando avanti

Una critica alla legge riguarda quante informazioni le società private condivideranno con il governo. Gli oppositori della CISPA vogliono che i vari tipi di dati vengano ridotti o ridotti al minimo prima di essere inviati al governo, ma le compagnie private non vogliono l'onere aggiunto di cercare di setacciare i dati prima di condividerli.

Ruppersberger ha spiegato che la NSA ha già il strumenti e tecnologie per ridurre al minimo i dati una volta che il governo lo riceve, e che questo è un problema che secondo lui può essere risolto. Alcune delle altre preoccupazioni relative alla CISPA sono di competenza. Rogers e Ruppersberger stanno osservando il mondo attraverso l'obiettivo del Comitato permanente permanente sull'intelligence della Camera, e hanno elaborato una legislazione per affrontare i problemi che vedono nell'ambito di tale comitato.

Allora, dove siamo adesso? La legislazione deve ora passare attraverso il mark-up e passare attraverso la commissione prima ancora che abbia la possibilità di essere votata. Quindi c'è ancora tempo per lavorare su questioni e negoziare compromessi per affrontare eventuali rimanenti preoccupazioni.

La CISPA richiede un duro equilibrio, ma è cruciale per gli interessi economici e di sicurezza nazionali degli Stati Uniti che affrontiamo la minaccia di attacchi informatici. Né il governo né l'industria privata possono affrontare il problema da soli, quindi una legislazione come la CISPA è necessaria per facilitare il tipo di condivisione e cooperazione di cui abbiamo bisogno.

Le opinioni espresse in questo articolo sono quelle del giornalista, e non necessariamente quelle di PCWorld.