Vélemény: A CISPA nem a gonosz, A megosztási és védelmi törvény (CISPA) olyan ellenőrzéseket és korlátozásokat tartalmaz, amelyek sokkal kevésbé félelmet keltenek, mint az ellenfelek.

A CISPA vagy a Cyber ​​Intelligence Sharing and Protection Act a tavalyi évben a Ház állandó választó bizottsága hírszerzési-Mike Rogers (R-MI) és holland Ruppersberger (D-MD). A jogszabály célja, hogy keretet hozzon létre a kormányzati és a magánvállalatok számára, hogy megosszák az érzékeny információkat a cyber támadások hatékonyabb azonosítása és megakadályozása érdekében.

A CISPA eredetileg a szenátuson keresztül valósult meg, mint az AT & T, a Comcast, az Oracle, a Symantec és a Microsoft. Ezután később a szőlőben halt meg, a Big Brother aggodalmait illetően, amelyek az amerikai állampolgárokra kémkednek. De most már visszatért: A múlt hónapban a kongresszusi szponzorai az elmúlt év során felmerültek az amerikai célok ellen irányuló magas szintű támadásokra adott válaszként.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

CISPA a cyber biztonság megerõsítésére szolgál, nem pedig az amerikai állampolgárokra.

A CISPA holtjáték

Igen, a törvényjavaslat visszatért, de a CISPA még nem vált népszerûbbé tavaly óta. Az EFF (Electronic Frontier Foundation), az ACLU (Amerikai Állampolgári Szabadságok Szövetsége) és más adatvédelmi érdekképviseleti csoportok ismét összehangolják a jogszabályokat. Ráadásul a Facebook, a törvények eredeti támogatója, csak a héten megszüntette támogatását.

Az ACLU megosztott velem egy levelet, amelyet Rogers és Ruppersberger kongresszusoknak küldtek az érintett szervezetek koalíciója érdekében. A levélben komoly fenntartások merültek fel a CISPA-val kapcsolatban, felszólítva az információmegosztási program polgári ellenőrzésének elmulasztását; nem követeli meg a magánszervezetektől, hogy a kormánytól megosztott adatokból szüntessék meg a személyazonosításra alkalmas információkat; és nem biztosítja a vasalható védelmet a megosztott információkért.

Kurt Opsahl, az EFF vezető tisztségviselője elmagyarázta nekem: "A Mandiant-jelentés azt mutatja meg, hogy mennyi hasznos információ osztható meg új számla nélkül … A problémák [ez a törvényjavaslat] alapvető fontosságú, és valószínűleg túlságosan mély ahhoz, hogy kompromisszumot lehessen kijavítani. "

De a hátránya indokolt?

2012. április 16-án a törvényjavaslat módosítása az adatvédelmi aggályok kezelésére irányult. Volt kérdések a terminológiával kapcsolatban, ezért a módosítás világossá teszi, hogy mit jelent a "számítógépes fenyegetés-információ", szűkebb értelmezést biztosítva, amely nem tartalmazza a "szellemi tulajdont".

Egyesek aggodalmuknak adtak hangot amiatt, hogy a törvényjavaslat felhatalmazza az internetszolgáltatókat vagy szolgáltatókat Válaszul a módosítás meghatározza, hogy a jogszabály csak a számítógépes fenyegetésekkel kapcsolatos információk azonosítására, megszerzésére és megosztására korlátozódik, és kifejezetten kimondja, hogy a törvényjavaslat nem biztosít semmilyen jogosultságot a számlák blokkolására vagy az adatok törlésére.

A módosítás a kulcsfontosságú adatvédelmi aggályokkal foglalkozik, és megakadályozza, hogy bármely információt felhasználjanak más célra, mint a hírszerzési gyűjteményt, és az amerikai kormányt beperelte, ha a kapott információkat olyan módon használják fel, amely sérti a A módosítás azt is előírja az Egyesült Államok ügyészének felügyeletét, hogy figyelemmel kíséri a CISPA keretében végzett tevékenységet, és biztosítsa a privac biztosítását

A Microsoft megosztotta velem a CISPA-val kapcsolatos hivatalos nyilatkozatát, amely egyidejűleg hangsúlyozza az adatvédelmi aggodalmakat, ugyanakkor elismeri, hogy előrelépés történt, és magában foglalja a Microsoft támogatását a CISPA alapul szolgáló céljainak eléréséhez:

"A Microsoft úgy véli, hogy a javasolt jogszabályoknak elő kell segíteniük a számítógépes fenyegetések információinak önkéntes megosztását olyan módon, amely lehetővé teszi számunkra, hogy tiszteletben tartsuk ügyfeleinknek szóló adatvédelmi és biztonsági ígéreteket. A február közepén bevezetett jogszabályok fontos változásokat tükröznek, amelyek egy aktuális, konstruktív párbeszédből erednek, és a párbeszédnek folytatódnia kell. Örömmel várjuk, hogy továbbra is együttműködjünk a döntéshozókkal és másokkal a számítógépes biztonság növelése mellett, miközben megvédjük a fogyasztók magánéletét. "- Scott Charney, vállalati alelnök, megbízható számítástechnika

Miért CISPA?

Február végén az RSA biztonsági konferencián leült a szponzoráló képviselőkkel, Rogers és Ruppersberger. Rogers elmagyarázta a törvényjavaslat támogatását támogató motivációt. "Az USA-ból átadott vagyonnak olyan helyek, mint Kína, lélegzetelállítóak és veszélyesek." Rogers és Ruppersberger úgy vélik, hogy ha az Egyesült Államok hírszerző ügynökségei a titkos információkat megosztják a magánszektorral, akkor a a biztonsági ipar és a magánszektorbeli vállalatok jobban fel tudják védeni magukat, és a hírszerző közösség is profitálhat a magánvállalkozásoktól, akik megosztják egymással a kormány elleni támadásokkal kapcsolatos tudásaikat.

A kétirányú információmegosztás létfontosságú a nagy a biztonsági fenyegetésekről és a támadások felderítéséről és megakadályozásáról, sőt, az Aurora Művelet által a Google és más szervezetek ellen folytatott információmegosztás szilárd példát nyújt arra, hogy mennyire hatékony az ilyen megosztás. csak látni az egyik darabot a puzzle-ben, összehasonlítva a jegyzeteket más cégekkel és hírszerző ügynökségekkel, a darabok megtalálhatók hogy a támadást teljes mértékben szemlélje.

A Rogers szerint a cél az, hogy az információmegosztást olyan módon kezelje, amely széleskörű, kétpárti támogatást és bevonást kínál a legfontosabb érdekelt felektől mind a kormány, mind a magánszektor. A kongresszusi támogatók úgy vélik, hogy a CISPA a legjobb módja annak, hogy a kormányzat és a magánszektor számára a szükséges eszközöket biztosítsák a kifinomult támadások felderítésére és a fejlett, tartós veszélyek ellen.

Miért most?

Rogers és Ruppersberger újra benyújtotta a CISPA-t Obama elnök az Unió államának címét, amelyben felszólította az országot a számítógépes támadásokkal szembeni védelemre. Megváltozott-e valami a törvényjavaslatban, amely megkülönbözteti a lőtt verziótól? Nem, semmi sem változott.

Ruppersberger elmagyarázta, hogy ő és Rogers mind a "Nyolcak Gangja" tagjai, a választott tisztségviselők egy csoportja, akik hozzáférnek a kulcsfontosságú hírszerzési információkhoz, és akiket a nemzetbiztonsági kérdésekről tájékoztatnak érzékeny, hogy a Kongresszus többi részével szélesebb körben osztozzanak. Azt mondta, gyakran megkérdezik, hogy mi tartja ébren éjjel, és az egyik legfontosabb válaszai a "számítógépes támadások".

Intézkednünk kell, hogy megakadályozzuk az érzékeny és tulajdonjogi adatok ellopását. ugyanaz a jogszabály újra? Ruppersberger elmondta, hogy a fenyegetés tájképei tavaly óta megváltoztak, és most már több támogatást nyújtanak a CISPA-hoz. "Ki vannak téve, és ezek a támadások egyre agresszívebbek: a Washington Post, a New York Times, a Wall Street Journal, vagyis a Pénzügyminisztérium, és folytatódik … Aramco, 30 000 számítógép kiütötte. Sokkal agresszívabbak. "

Előre

A törvényjavaslat egyik kritikája arra vonatkozik, hogy a magánvállalatok mennyi információt fognak megosztani a kormányzattal. A CISPA ellenfelek azt szeretnék, hogy a különböző típusú adatok lehúzódjanak vagy minimalizálásra kerüljenek, mielőtt a kormányba küldenének, de a magánvállalatok nem akarják, hogy megpróbálják átszűrni az adatokat az adatok megosztása előtt.

Ruppersberger elmagyarázta, hogy az NSA már rendelkezik eszközökkel és technológiával az adatok minimalizálása érdekében, amint a kormány megkapja, és ez egy olyan kérdés, amelyet úgy vélhet, hogy át lehet dolgozni. A CISPA-val kapcsolatos egyéb aggályok egy része joghatósági kérdés. Rogers és Ruppersberger a Ház Állandó Kiválasztott Bizottsága lencse révén látják a világot, és törvényeket dolgoztak ki annak érdekében, hogy megoldják azokat a problémákat, amelyekkel a bizottság hatáskörébe tartozik.

Tehát hol vagyunk most? A jogszabályoknak most már fel kell tölteniük a bírálatot és el kell jutniuk a bizottságon, mielőtt még szavazásra is lehetőségük nyílik. Tehát még mindig van idő, hogy dolgozzon a kérdéseken és kompromisszumokkal tárgyaljon a fennmaradó aggodalmak kezelésére.

A CISPA kemény egyensúlyozó cselekvést követel, de az Egyesült Államok gazdasági és nemzetbiztonsági érdekei szempontjából kulcsfontosságú, hogy kezeljük a számítógépes támadások veszélyét. Sem a kormányzat, sem a magánipar nem képes egyedül megoldani a problémát, így olyan jogszabályok, mint a CISPA, szükségesek ahhoz, hogy megkönnyítsük a megosztás és az együttműködés szükségességét.

Ebben a cikkben az állásfoglalásban szereplő álláspontok nem feltétlenül a PCWorld.