Ez az adatvédelem a cybersecurity-hez képest, ahogy a CISPA számla érkezik a szenátusba

Frissítés: Csütörtökön az US News arról számolt be, hogy a CISPA "majdnem biztosan fel lesz rajtuk", hivatkozva az Egyesült Államok Szenátusi Kereskedelmi, Tudományos és Közlekedési Bizottságának egy meg nem nevezett képviselőjének észrevételeire. Az US News idézte Michelle Richardsont, az ACLU jogalkotó tanácsosát, aki azt mondta: "Azt hiszem, most halott, a CISPA túl vitatott, túlságosan kiterjedt, nem csak a szenátus által tervezett program." Richardson becslése szerint több hónapig is eltarthat, amíg az új jogszabályok szavazásra kerülnek.

A számítógépes biztonság és az online magánélet két olyan kritikus érdeklődéssel bír, amelyek úgy tűnik, szánták, hogy soha ne jöhessenek együtt. Biztos, hogy rosszindulatú hackereket, spammereket és egyéb internetes rosszindulatú személyeket hoznak bíróság elé -, de meg szeretné védeni az online adatait is.

A számítógépes bűnözés elleni küzdelem nagy része azonban arra törekszik, hogy összecsukja a szénakazalat összesített online adatait és letapogatva egy gyanús tevékenységre. Az Ön online adatait be lehet söpörni az egyik ilyen cölöp és beolvasott. Mi történik az út mentén, bárki kitalálja, hogy

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows PC-jéről] Az első lépés annak megértéséhez, hogy a számítógépes biztonság hogyan működik, hogy elfogadja az online adatainak szkennelését.

Ezért szeretné szem előtt tartani a Cyber ​​Intelligence Sharing and Protection Act (CISPA) ügyét, amely a múlt héten az amerikai képviselőházat átadta, és amelyet most a szenátus veszi figyelembe, ahol jelenleg a bizottságban van. A CISPA célja, hogy lazítsa meg azokat a korlátozásokat, amelyek jelenleg szabályozzák az adatmegosztást a kiberbiztonsági nyomozók között. Ez meglehetősen ésszerűnek tűnhet, de az ellentmondások felmerülnek az adatok kezelésének módjáról - konkrétan, hogyan osztoznak, és hogyan csökkentik a személyazonosításra alkalmas adatokat (PII).

Ezenkívül a törvényjavaslat magas szintű mentességet teremt a perekből az adatokat megosztó kormány és magánvállalatok számára. Ez nem feltétlenül megnyugtató, ha adatokat osztanak meg.

Ha nem, ha adatainak beolvasása és megosztása

Az első lépés annak megértésében, hogy a számítógépes biztonság hogyan működik, elfogadja, hogy az online adatait már beolvassa. A kormány, a bűnüldözés és a magáncégek mind a gyanús megjelenésű internetes tevékenységet keresik. A levélszemétszolgáltatók, botnetek és rosszindulatú támadások a Twitter-ben, például a számítógépes bűnözés egyik szélesebb kategóriájába tartoznak. Még nagyobb aggodalomra ad okot a "létfontosságú infrastruktúra" (mint például a hatalom és a vízellátás, a kommunikációs hálózatok) vagy a civilek elleni támadások.

A CISPA a magánvállalkozásoknak "cyber-fenyegetésről" A CISPA lehetővé tenné, hogy a magánvállalkozások megosztják az adatokat a bűnüldöző szervekkel és a kormányzati szervekkel, ha az adatok akkor minősülnek, mint amit a törvényjavaslat "számítógépes fenyegetésről" tájékoztat, ami segíthet a bűncselekmény megoldásában. Ez a kifejezés homályossága nagy része az adatvédelmi problémanak, mondja Jeramie Scott, a nemzetbiztonsági fickó az Electronic Privacy Information Center-ben. "Olyan kifejezéseket használ, mint a" hálózati sebezhetőség "és" a hálózat integritásának fenyegetése "a definíciójában, amelyet a magánszektor számára hagytak értelmezni" - mondja Scott.

Az adatokat lefedő definíciók elég homályosak ahhoz,

A CISPA bizonytalansága a magánvállalatoknak sok átkattintási lehetőséget biztosít a tájékoztatáshoz. "Mondd el, hogy egy közösségi oldal megsérti a szolgáltatási támadást" - mondja Scott. "A webhely csak a relevánsabb diagnosztikai részleteket kínálhatja a kormánynak, de az összes érintett profilra vonatkozóan is megadhatja a személyes adatokat - beleértve például, hogy kivel csatlakozik - és a profilok biológiai részleteit - mindaddig, amíg a a közösségi hálózatot a "számítógépes fenyegetésről szóló információ" információnak tekinti. ""

Michelle Richardson, az Amerikai Állampolgári Szabadságok Szövetségének jogalkotó tanácsadója szerint minden Nigériából származó hülye levélszemét lehetõvé teheti az adatok tisztességes játékát további vizsgálathoz. "Ezek mindennapos előfordulások, amelyek a törvényjavaslat keretében a kiberbiztonsági események" - mondja Richardson. Rainey Reitman, az Electronic Frontier Foundation aktivizmusa igazgatója szerint a szolgáltatás megoszthatja a "cyber-fenyegetésről" tájékoztató adatokat, és ezt jogi eljárás nélkül is megteheti, amennyiben "jóhiszeműen" és " cybersecurity célja ".

Az adatmegosztás könnyebbé vagy automatikusabbá válik

Az ACLU Richardson hozzáteszi, hogy a CISPA alatt az adatmegosztás sima lesz, igazán sima. Ahelyett, hogy olyan folyamaton haladna át, amelyben a kormány kifejezetten információt kér, "valamilyen folyamatról beszélnek, amely automatikusan továbbítja a dolgokat a kormánynak" - mondja Richardson.

Ha az adatokat automatikusan átirányítják, mikor és mikor kapja meg a PII-t az adatoktól megfosztva, nagyobb kérdéssé válik. Sajnos senki sem beszél arról, hogy a felhasználói identitások teljesen névtelenek. Nem, a CISPA mögött álló emberek elégedettek a puszta "minimalizálással" - ésszerű erőfeszítéseket tesznek a PII eltávolítására. Az EPIC Scott szerint: "A CISPA nem követeli meg [egy magántársaságtól], hogy távolítsa el vagy más módon korlátozza a kormánynak nyújtott információt, amíg az a széles esernyő alá esik a számítógépes fenyegetésekről szóló információk. "

A biztonsági szakértők keresik a trendeket, az egyes viselkedések előfordulását és a rosszindulatú programok terjedési mintáit - nem személyes adatokat. -David LeDuc, SIIA

Bár úgy tűnik, érthető, hogy a szolgáltató cég eltörli a PII-t az általuk megosztott adatokból, a CISPA szerint ez a feladat a kormányhoz tartozik. David LeDuc a Szoftver és Informatikai Iparszövetség, a CISPA-t támogató szoftverfejlesztők és digitális tartalomszolgáltatók nagykereskedelmi csoportjának vezetője. A LeDuc lecsökkenti a PII fontosságát a kiberbiztonság terén, mondván, hogy nem az érdeke, hogy a szakemberek részt vesznek az internetes bűnözés elleni küzdelemben. "A biztonsági szakértők a trendek irányába mutatnak" - mondja -, "bizonyos viselkedések és terjedési minták előfordulása a rosszindulatú programok számára - nem személyes adatokhoz."

LeDuc azt is hangsúlyozza, hogy a CISPA-t módosították a kormányzati alapú minimalizálás fakultatív kötelező. "A szövetségi kormánynak minimálisra kell csökkentenie a magánszektortól kapott információkat annak érdekében, hogy információt szolgáltasson olyan személyekről, akik nem szükségesek ahhoz, hogy válaszoljanak a számítógépes fenyegetésre."

Ez a módosítás azonban nem foglalkozik azzal a kérdéssel, hogy mi történik a magánvállalatok között megosztott adatok. Mivel csak a kormány feladata, hogy minimálisra csökkentsék a PII-t a CISPA alatt, a magánvállalatok viszonylag PII-vel gazdag adatokat oszthatnak meg maguk között anélkül, hogy erőfeszítenék a minimalizálást. Adam Schiff (D-California) képviselõ elmondta, hogy a CISPA-ról szóló parlamenti szavazás elıtt beszélt. "A magánszervezetek egymással osztoznak egymással anélkül, hogy valaha is átmenetnének a kormányon" - mondta. "Ilyen körülmények között, hogyan tudja a kormány minimalizálni azt, amit soha nem rendelkezik? Tehát a kormány által minimálisra csökkentés, ami mindezen törvényjavaslat magában foglalja, nem elég. "

Schiff kongresszus bevezetett egy módosítást, hogy foglalkozzon ezzel a kiskapukkal, de azt panaszolja, hogy a CISPA szponzorai soha nem hozták meg a Ház elé a szavazást.

A magánvállalkozások törődnek: perek

A megosztás és a lehető legkisebbre csökkentés érdekében a CISPA valójában úgy tűnik, hogy megvédi az adatszolgáltatást nyújtó vállalatokat. Amikor megkérdezték, mi volt a legfontosabb dolog, hogy a fogyasztók tudjanak a CISPA-ról, a SIIA LeDuc azt mondta, hogy a felelősség kockázata meghiúsította a számítógépes biztonságot. "Sajnálatos módon a jelenlegi jogi keretek között a vállalatok vagy bármely magánvállalkozás szabályozási vagy jogi lépések kockázatával szembesül olyan információk megosztásában, amelyek szerintük értékes lehet a cybersecurity fenyegetés vagy esemény megelőzésére vagy enyhítésére."

Legtöbbünknek fogalma sincs, vajon adatainkat használják-e, vagy visszaélnek-e, hacsak nem visszajön, hogy harapjanak minket.

A peres eljárás néha furcsa. Végül is, ezekkel a hatalmas adat-szkennelési erőfeszítésekkel a legtöbbünknek fogalma sincs, hogy használják-e az adataikat, vagy visszaélnek-e, hacsak nem visszajön, hogy harapjon. Ha ez megtörténne, akkor jó lenne jogi eljárást indítani. Ismét itt a CISPA homályos nyelvének köszönhetően a magánélet védelme is nehezebb. Az ACLU Richardson azt mondja: "Nem csak arról szól, hogy mit oszthatsz meg, de a megosztott információk alapján hozott döntéseid is immunizáltak. Ők ténylegesen használják ezt a kifejezést, "döntéseket hoztak", ami hihetetlenül széles. "

A" jóhiszeműség "sok jó szándékú kárra utal

De a SIIA LeDuc ragaszkodik ahhoz, hogy van egy folyamat. "Az egyes állampolgárok nem veszítik el maguknak a jogorvoslati vagy bírósági jogorvoslati lehetőségeket" - mondja. "Minden olyan eset, amikor egy társaságot úgy találtak, hogy nem" jóhiszeműen "járnak el, valószínűleg felelősek az egyén kárért."

Az EFF Reitman azt állítja, hogy a "jóhiszeműség" messze. A felelősség alól a vállalatok több adatot szabadon oszthattak meg. Például Reitman szerint "a Netflix a Netflixhez vezető három hét alatt a listán szereplő neveket, hitelkártyaszámokat, otthoni címeket és számlaaktivitást tartalmazó listát adhat mindazoknak, akik a

Hackerek filmet nézték szenvedett egy enyhe DDOS-támadást. "A CISPA jelenleg biztosítja a polgári felügyeletet az adatmegosztásról a Belbiztonsági Minisztériumon és más szervezeteken keresztül, de ha az adatokat egy katonai egységhez továbbítják, akkor a felügyelet véget ér. " Soha tudják, mit tettek ezekkel az adatokkal "- mondja Reitman. "Nem gondoljuk, hogy jóhiszemű lenne, de nehéz lenne az ügyfelek felfedezni és később bizonyítani."

A CISPA nem jut messzire

Ez a CISPA második kísérlet a Szenátus jóváhagyására, és sikere messze bizonyos - különösen az elnök egyértelműen kijelentette, hogy a CISPA vétójává válik jelenlegi formájában. Bár egyetlen jogszabály sem tökéletes, az ellenfelek a CISPA homályosságát és kiskapukat mutatják, mint a játékostok. Az ACLU Richardson azt mondja: "Az emberek arról beszélnek, hogy Kína szétválasztja a szellemi tulajdont és ellopja azokat. Ha írt volna egy számlát arról, akkor kevesebb panaszunk lenne. A CISPA széleskörű és sok mindent megtesz a mindennapi tevékenységből. "

A CISPA bemutatja a bonyolult háborús harcot az online magánélet és a kiberbiztonsági erőfeszítések között.

A szenátorok szintén készen állnak az alternatív internetes biztonságra vonatkozó jogszabályokra - bár ez nem múlt évben működött. John D. szenátor (Jay) Rockefeller (D-West Virginia) szponzorálja a 2013-as Cybersecurity és az American Cyber ​​Competitiveness Act-et (ugyanúgy, mint egy hasonló, 2012-es erőfeszítés, ami megállt). A CISPA-ról szóló parlamenti szavazás után közzétett sajtóközleményben Rockefeller szenátor azt mondta: "A mai fellépés a házban fontos, még akkor is, ha a CISPA magánéletének védelme nem elegendő. Minden olyan elemre szükségünk van, amelyek megerősítik majd a kiberbiztonságot, nem csak egy, hanem a szenátus is. "A hét elején érkezett Dianne Feinstein (D-California) szenátor, ugyanazon törvény társszponzora., "Jelenleg egy kétoldalú információmegosztási törvényt dolgozunk ki, és amint megállapodásra jussunk".

A törvényjavaslat szerint az online magánélet és a kiberbiztonsági erőfeszítések közötti bonyolult háború. Az ACLU Richardson úgy véli, hogy a CISPA ösztönözni fogja a szenátust, hogy jobb megoldást találjon. "Mindenki más ebben a játékban valami célzottabb, stratégiai és magánjellegű védelmet keres." A tökéletlen válasz valahol valahol, remélhetőleg annyi védelmet nyújt a kisfiú számára, mintha nagy adatok lennének.