Kriitikot: CISPA vielä hallituksen valvontalaskelma

Yhdysvaltain edustajainhuoneen valiokunta ei onnistunut tekemään tarvittavat muutokset valtion valvonnan pelkojen hillitsemiseksi kiistanalaisessa cyberthreat-jakamissalissa, joka on siirtymässä House-äänestykseen, kertoivat kriitikot.

The House Intelligence Committee, äänestämällä 18-2 keskiviikkona, joka hyväksyy Cyber ​​Intelligence Sharing and Protection Actin (Cyber ​​Intelligence Sharing and Protection Act, CISPA), ei ole huolissaan siitä, että lakiehdotus antaisi yksityisille yrityksille mahdollisuuden jakaa liikaa asiakastietoja viranomaisten kanssa taistelevien verkkotoimitusten, digitaalisten oikeuksien ryhmien

Komitean johtajat odottavat, että koko parlamentti äänestää CISPAsta pian ensi viikolla.

[Lue lisää: Haittaohjelmien poistaminen Windowsista PC]

"Kiinan, Venäjän ja Iranin kaltaiset kansallisvaltiot, kuten Kiina, Venäjä ja Syyria, hyökkäävät amerikkalaisiin tietoverkkoihin, varastavat miljardeja dollareita vuodessa henkiselle omaisuudelle ja heikentävät teknologia-innovaatiota Amerikan talouden ytimessä." Rogers, Michigan republikaani ja lakimies, sanoi lausunnossaan. "Tämä lakiehdotus on vankka askel kohti auttamaan amerikkalaisia ​​yrityksiä suojaamaan verkkojaan näiltä tietoverkkohyökkijiltä."

Mutta digitaalisten oikeuksien ryhmät sanoivat, että lakiehdotuksella on edelleen suuria puutteita. "Suljettujen ovien merkinnöissä tarjotut muutokset eivät tee mitään, jotta voisimme käsitellä tiettyjä huolenaiheita, joita olemme esittäneet kuukausien ajan", toteaa Evan Greer, kampanjapäällikkö digitaalisten oikeuksien ryhmässä Fight for the Future.

laskenta antaa yksityisille yrityksille mahdollisuuden jakaa laajaa asiakastietojärjestelmään liittyvää tietoa, jonka he katsovat liittyvän Yhdysvaltain virastojen, kuten kansallisen turvallisuusviranomaisen, kanssa, cyberthreats.

"CISPA: n versio, useita tarkistuksia, jotka näyttävät paremmalta pinnalta, mutta eivät tee mitään, jotta voitaisiin käsitellä lakiehdotuksen perimmäistä puutetta, joka on silti mahdollista sallia suuria määriä yksityisiä käyttäjätietoja salaavien virastojen kanssa ", hän lisäsi. "Se tarjoaa edelleen laajaa lakisääteistä suojelua yrityksille, jotka jakavat tietoja."

Jos CISPA: n sponsorit eivät halua, että se olisi valvontalaskelma, heidän pitäisi tehdä lisämuutoksia, lisäsi Greer. "Jos se on totta, on helppo korjata: kirjoita se laskuun", hän lisäsi.

Sponsorit ja jotkut muut lainsäätäjät puolustivat lakiehdotusta sanomalla, että se tarjoaa merkittäviä yksityisyyden suojaa. Valiokunta hyväksyi Rhode Island demokraattisen edustajan Jim Langevinin tekemän muutoksen, joka kieltää yrityksiä vastahyökkäyksiltä tai hakkeroimasta verkkotoimittajia vastaan, kun digitaaliset oikeuksien ryhmät esittivät huolenaiheita siitä, että lakiesityksen kieli voisi sallia tällaisen toiminnan.

Langevin kiitti laskun, mutta se ehdotti myös, että CISPA "ei ole lopullinen ratkaisu tietoverkkoturvallisuuteen."

"Vaikka [laskelma] lupaa parantaa huomattavasti tilannetietoutta, tiedon jakaminen yksinään ei salli meitä estää kaikkia hyökkäys ", hän sanoi lausunnossaan. "Haavoittuvimmalla ja arvokkaimmalla infrastruktuurillamme on täytettävä tietyt vähimmäisverkkomääräykset, jotta minimoidaan riski siitä, että suuri tietoverkko, joka voisi jättää miljoonille ihmisille ilman sähköä tai turvallista juomavettä pitkään aikaan."

Toinen komitean hyväksymä tarkistus rajoittaa yksityisen sektorin käyttämää tietoverkkoturvaa koskevia tietoja vain tietoverkkojen turvallisuuteen. Jotkut digitaaliset oikeudet ja yksityisyydensuojaryhmät olivat kyseenalaistaneet, voisiko lakiehdotus antaa yrityksille mahdollisuuden käyttää muihin tarkoituksiin vastaanottamiaan tietoverkkorikollisuutta koskeviin tietoihin.

Valiokunta myös poistanut kielen lakiehdotuksesta antaisi hallitukselle mahdollisuuden käyttää CISPA: n nojalla kerättyjä tietoja " tarkoituksiin "pyrittäessä rajoittamaan hallinnon tiedon käyttöä.

Mutta Greer kyseenalaisti, onko kyse merkittävästä parannuksesta. Muutos ei ole "todellinen korjaus", hän sanoi. "Tietojenkäsittelyn tietoturva" on niin huonosti määritelty laskussa, että se ei tarjoa mielekkäitä rajoituksia siihen, mitä voidaan tehdä kerätyillä tiedoilla. "

Billin sponsoreilla sanottiin, että se sisältää useita tietosuojaa. CISPA kieltää hallitusta velvoittamasta yksityisen sektorin yksiköitä toimittamaan tietoja hallitukselle ja kannustaa yksityisiä yrityksiä anonyymään tai minimoimaan tiedot, jotka he voluntarily share with the government, sponsorit sanoivat.

Laki antaa myös yksilöille mahdollisuuden haastaa liittovaltion hallitukselle tietosuojavahinkoja, kustannuksia ja asianajajan palkkioita liittovaltion tuomioistuimessa, ja se vaatii tiedustelupalvelun tarkastajan vuosittaista tarkistamista tietojen yhteiskäyttöohjelmasta. CISPA on auringonlasku viidessä vuodessa.

Kalifornian demokraattinen edustaja Adam Schiff ilmoitti kuitenkin olevan pettynyt siihen, että valiokunta hylkäsi hänen tekemänsä tarkistuksen, joka olisi edellyttänyt yrityksiä tekemään kohtuullisia ponnistuksia poistamaan etuyhteydettömät yksityiset tiedot niiden jakamasta tietoverkosta

"Ei ole liikaa kysyä, että yritykset varmistavat, etteivät ne lähetä yksityisiä tietoja asiakkaistaan, heidän asiakkaistaan ​​ja työntekijöistään tiedustelutoimistoille sekä aitoja tietoturva-informaatioita", hän totesi lausunnossaan.

Laskutusta tukevat ryhmät olivat BSA ja Software and Information Industry Association, molemmat ohjelmistaryhmät. CISPA "antaisi ratkaisevan tärkeät puitteet varhaisen havaitsemisen ja tietoturvauhkojen ilmoittamiselle", SIIA totesi.