É Privacidade versus segurança cibernética conforme a conta da CISPA chega ao Senado

Atualização: Na quinta-feira, a US News informou que a CISPA "quase certamente será arquivada", citando comentários feitos por um representante anônimo do Comitê de Comércio, Ciência e Transporte do Senado dos EUA. O US News também citou Michelle Richardson, consultora legislativa da ACLU, que disse: "Acho que está morto por enquanto. A CISPA é controversa demais, é expansiva demais, não é o mesmo tipo de programa contemplado pelo Senado no ano passado". Richardson estima que pode levar vários meses para que a nova legislação chegue à votação.

A segurança cibernética e a privacidade online são dois interesses críticos que parecem destinados a nunca se darem bem. Claro, você quer que hackers mal intencionados, spammers e outros criminosos da Internet sejam julgados - mas você também quer proteger seus dados online.

Uma grande parte da luta contra o cibercrime, no entanto, exige a coleta de dados online agregados e esquadrinhando para uma agulha indescritível de atividade suspeita. Seus dados on-line podem ser varridos para uma dessas pilhas e digitalizados. O que acontece com isso ao longo do caminho é uma incógnita.

[Leia mais: Como remover malware do seu PC com Windows] O primeiro passo para entender como funciona a segurança cibernética é aceitar que seus dados on-line serão verificados e já estão sendo É por isso que você vai querer ficar de olho no Ato de Proteção e Compartilhamento de Inteligência Cibernética (CISPA), que passou na Câmara dos Deputados dos EUA na semana passada e agora está sendo considerado pelo Senado, onde está atualmente no comitê.. A CISPA tem como objetivo afrouxar as restrições que atualmente governam o compartilhamento de dados entre os investigadores de segurança cibernética. Isso pode soar bastante razoável, mas surge a controvérsia sobre como os dados são tratados - especificamente, como são compartilhados e como as informações pessoalmente identificáveis ​​(PII) são minimizadas.

Além disso, a lei cria um alto nível de imunidade de ações judiciais para o governo e empresas privadas que compartilham dados. Isso não é exatamente reconfortante quando eles estão compartilhando seus dados.

Quando, não se, seus dados são verificados e compartilhados

O primeiro passo para entender como a segurança cibernética funciona é aceitar que seus dados on-line já estão sendo verificados.. Empresas governamentais, policiais e privadas estão atentas a atividades suspeitas na Internet. Spammers, botnets e hacks maliciosos em sites como o Twitter se enquadram em uma ampla categoria de cibercrime. De uma preocupação ainda maior são as tentativas de atacar “infra-estruturas críticas” (como energia e água e redes de comunicação), ou civis.

A CISPA permitiria que empresas privadas compartilhassem dados considerados “informações de ameaças cibernéticas”.

A CISPA permitiria que empresas privadas compartilhassem dados com autoridades policiais e agências do governo se os dados se qualificassem como o que a lei chama de “informação de ameaça cibernética” que poderia ajudar a resolver um crime. A imprecisão desse termo é uma grande parte do problema de privacidade, diz Jeramie Scott, membro da segurança nacional do Centro de Informações de Privacidade Eletrônica. “Ele usa termos como 'vulnerabilidade a uma rede' e 'ameaça à integridade de uma rede' em sua definição que são deixados para o setor privado interpretar”, diz Scott.

Definições cobrindo dados são vagas o suficiente para convidar o compartilhamento excessivo

A imprecisão da CISPA dá às empresas privadas muita margem de manobra para compartilhar informações. "Digamos que um site de rede social sofra um ataque de negação de serviço", diz Scott. “O site poderia oferecer apenas os detalhes de diagnóstico mais relevantes para o governo, mas também poderia fornecer informações pessoais sobre todos os perfis afetados, incluindo, por exemplo, com quem você está conectado e detalhes biográficos, desde que rede social considerou a parte de informações da 'informação de ameaça cibernética' ”.

De acordo com a conselheira legislativa Michelle Richardson, da American Civil Liberties Union, todo spam estúpido que você recebe da Nigéria pode tornar seus dados justos para uma investigação mais aprofundada. "Estas são ocorrências diárias que são eventos de segurança cibernética sob o projeto de lei", diz Richardson. Rainey Reitman, diretor de ativismo da Electronic Frontier Foundation, diz que um serviço poderia compartilhar quaisquer dados que considerasse “informação de ameaça cibernética” e poderia fazê-lo “sem processo legal, desde que fosse de 'boa fé' e por ' propósito de cibersegurança. '”

O compartilhamento de dados será mais fácil ou automático

Richardson, da ACLU, acrescenta que, na CISPA, o compartilhamento de dados será suave. Em vez de passar por um processo no qual o governo solicita especificamente informações, "eles estão falando sobre algum tipo de processo que encaminhará automaticamente as informações para o governo", diz Richardson.

Se os dados forem roteados automaticamente, quando e como o PII é retirado dos dados torna-se um problema maior. Infelizmente, ninguém está falando sobre como tornar as identidades dos usuários completamente anônimas. Não, as pessoas por trás da CISPA estão satisfeitas com a mera “minimização” - fazendo um esforço razoável para remover PII. É aqui que a definição de “informação sobre ameaças cibernéticas” mais uma vez entra em ação, diz Scott da EPIC: “A CISPA não exige que [uma empresa privada] remova ou restrinja as informações fornecidas ao governo, desde que ele se encaixe no amplo Informações sobre ameaças cibernéticas ”.

Os especialistas em segurança procuram tendências, a prevalência de certos comportamentos e padrões de propagação de malware - não de informações pessoais. -David LeDuc, SIIA

Embora pareça fazer sentido para a empresa fornecedora tirar o PII dos dados que compartilham, sob a CISPA essa tarefa cai no governo. David LeDuc é diretor sênior de políticas públicas da Software & Information Industry Association, um grande grupo comercial que representa desenvolvedores de software e empresas de conteúdo digital, que apóiam a CISPA. A LeDuc minimiza a importância das PII na segurança cibernética, dizendo que não é o que interessa aos profissionais envolvidos no combate ao cibercrime. “Especialistas em segurança procuram tendências”, diz ele, “a prevalência de certos comportamentos e padrões de propagação de malware - não de informações pessoais.”

LeDuc também aponta que a CISPA foi alterada de tornar opcional a minimização baseada no governo é obrigatório. "O governo federal deve minimizar as informações que recebe do setor privado para obter informações sobre pessoas específicas que não são necessárias para responder a uma ameaça cibernética", diz ele.

No entanto, essa emenda não aborda a questão do que acontece dados compartilhados entre empresas privadas. Como apenas o governo tem o trabalho de minimizar as PII sob a CISPA, as empresas privadas podem compartilhar dados ricos em PII entre si sem fazer nenhum esforço para a minimização. Ao falar antes da votação da Câmara na CISPA, o deputado Adam Schiff (D-Califórnia) deixou clara sua desaprovação. "As entidades privadas podem compartilhar informações entre si sem nunca passar pelo governo", disse ele. “Nessas circunstâncias, como o governo pode minimizar o que nunca possui? Portanto, apenas a minimização do lado do governo, que inclui tudo isso, não é suficiente. ”

O congressista Schiff havia apresentado uma emenda para tratar dessa lacuna, mas ele reclama que os patrocinadores da CISPA nunca a trouxeram para votar.

O que as empresas privadas se preocupam: ações judiciais

Sob toda essa conversa de compartilhamento e minimização, o que realmente parece ser a CISPA é proteger as empresas que fornecem os dados de serem processadas por isso. Quando perguntado sobre qual era a coisa mais importante para os consumidores saberem sobre a CISPA, o LeDuc da SIIA disse que os riscos de responsabilidade estavam atrapalhando os esforços de segurança cibernética. “Infelizmente, sob a estrutura legal atual, as empresas, ou quaisquer entidades privadas, correm o risco de ações regulatórias ou legais para compartilhar informações que acreditam ser valiosas para prevenir ou mitigar uma ameaça ou incidente de segurança cibernética”, diz ele.A maioria de nós não tem idéia se nossos dados estão sendo usados ​​ou mal usados, a menos que ele volte a nos morder.

A perspectiva de um litígio é um tanto exótica. Afinal de contas, com esses enormes esforços de escaneamento de dados, a maioria de nós não tem idéia se nossos dados estão sendo usados ​​ou mal utilizados, a menos que ele volte a nos atacar. Se isso acontecer, no entanto, seria bom ter um processo para recurso legal. Aqui, novamente, a linguagem vaga da CISPA torna a privacidade mais difícil de proteger. Richardson da ACLU diz: “Não é apenas o que você pode compartilhar, mas quaisquer decisões que você tome com base nas informações compartilhadas também são imunizadas. Eles realmente usam esse termo, 'decisões tomadas', que é incrivelmente amplo. ”

'Boa fé' cobre muitos danos bem intencionados

Mas o LeDuc da SIIA insiste que existe um processo. "Os cidadãos individuais não perdem a capacidade de processar ou utilizar os tribunais para reparação", diz ele. “Qualquer caso em que uma empresa tenha sido considerada 'de boa fé', provavelmente seria prejudicada por um indivíduo.”

Reitman, da EFF, diz que a capa da “boa-fé” poderia facilmente ir também longe. Protegidas contra a responsabilidade, as empresas poderiam compartilhar mais dados com mais liberdade. Por exemplo, diz Reitman, “a Netflix poderia fornecer ao governo uma lista dos nomes, números de cartão de crédito, endereços residenciais e atividades da conta para todos que assistiram o filme

Hackers

durante as três semanas anteriores ao Netflix. sofrendo um leve ataque DDOS. ”Atualmente, a CISPA fornece supervisão civil do compartilhamento de dados através do Departamento de Segurança Interna e outras entidades, mas se os dados forem repassados ​​para uma entidade militar, a supervisão termina. “ Nós nunca sabe o que eles fizeram com esses dados ”, diz Reitman. “Não achamos que seria de boa fé, mas seria difícil para os clientes descobrirem e depois comprovarem.” A CISPA pode não chegar longe

Esta é a segunda tentativa da CISPA para obter a aprovação do Senado, e seu sucesso está longe de ser certo - especialmente dada a intenção claramente declarada do Presidente de vetar a CISPA em sua forma atual. Apesar de nenhuma peça legislativa ser perfeita, os opositores apontam para a imprecisão da CISPA e para as brechas como rolhas de jogo. Richardson, da ACLU, diz: “As pessoas estão falando sobre a invasão da China e o roubo de propriedade intelectual. Se eles tivessem escrito um projeto sobre isso, teríamos menos reclamações. A CISPA mostra a complicada batalha entre a privacidade online e os esforços de segurança cibernética.

Os senadores também estão preparando legislação alternativa de segurança cibernética - embora isso não tenha funcionado no ano passado, seja. O senador John D. (Jay) Rockefeller (D-Virgínia Ocidental) está patrocinando a Lei de Segurança Cibernética e Cibersegurança Americana de 2013 (como ele fez um esforço similar de 2012 que parou). Em um comunicado de imprensa publicado após a votação da Câmara na CISPA, o senador Rockefeller disse: “A ação de hoje na Câmara é importante, mesmo que as proteções de privacidade da CISPA sejam insuficientes. Precisamos de ação em todos os elementos que fortalecerão nossa segurança cibernética, e não apenas uma, e é isso que o Senado alcançará. ”Atingida no início desta semana, a senadora Dianne Feinstein (D-Califórnia), co-patrocinadora da mesma lei, disse: “Estamos atualmente elaborando uma lei bipartidária de compartilhamento de informações e prosseguiremos assim que chegarmos a um acordo.”

O projeto de lei, como está, mostra o complicado cabo de guerra entre privacidade on-line e esforços de segurança cibernética. Richardson, da ACLU, acredita que a CISPA irá inspirar o Senado a encontrar uma solução melhor. “Todo mundo neste jogo está olhando para algo mais direcionado, estratégico e protegido por privacidade.” A resposta imperfeita está em algum lugar, esperançosamente, com tanta proteção para o rapaz quanto parece para o big data.