Tietosuoja vs. tietoverkkoturva, kun CISPA-lasku saapuu senaatille

Päivitys: Torstaina Yhdysvaltain uutiset ilmoittivat, että CISPA "on melkein varmasti hyllytetty", jossa viitataan Yhdysvaltain kauppa-, tiede- ja liikenneministeriön nimeämätön edustajan esittämiin kommentteihin. Yhdysvaltain uutiset mainitsivat myös ACLU: n lakimiehen Michelle Richardsonin, joka sanoi: "Mielestäni se on kuollut nyt. CISPA on liian kiistanalainen, se on liian laaja, se ei ole vain samanlainen kuin senaatin viime vuoden ohjelma". Richardson arvioi, että uusi lainsäädäntö saattaa tulla äänestämään useita kuukausia.

Tietoverkkoturvallisuus ja verkkosuoja ovat kaksi kriittistä etua, jotka näyttävät tarkoituksiltaan koskaan toteutumatta. Tietenkin haluat haitallisia hakkereita, roskapostittajia ja muita Internetin alamäkiä tuoda oikeuden eteen - mutta haluat myös suojata verkkotietojasi.

Suuri osa tietoverkkorikollisuuden torjunnasta vaatii kuitenkin keräämään heinäsuovasta koottujen online-tietojen ja skannaamalla se epäilyttävään epäilyttävän toiminnan neulaan. Verkkotietosi voidaan pyyhkiä yhteen näistä paaluista ja skannata. Se mitä tapahtuu matkan varrella on kenenkään arvaus.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta] Ensimmäinen askel ymmärtää, miten verkkoturvallisuus toimii, on hyväksyä, että online-tietosi skannataan - ja jo

Siksi sinun on syytä pitää silmällä Cyber ​​Intelligence Sharing and Protection Act (CISPA), joka läpäisi Yhdysvaltain edustajainhuoneen viime viikolla ja jota nyt senaatti tutkii, jossa se on parhaillaan valiokunnassa. CISPA pyrkii poistamaan rajoitukset, jotka tällä hetkellä ohjaavat tiedon jakamista tietoverkkotutkimuksen tutkijoiden keskuudessa. Tämä saattaa kuulua riittävän kohtuulliseksi, mutta syntyy kiistaa siitä, miten tietoja käsitellään - nimenomaan, miten se jakautuu ja kuinka yksilöitävissä olevat tiedot (PII) on minimoitu.

Lisäksi lakiehdotus luo korkean tason koskemattomuuden syytteistä hallitukselle ja yksityisille yrityksille, jotka jakavat tietoja. Tämä ei ole aivan lohduttavaa, kun he jakavat tietoja.

Jos ei, jos tietosi skannataan ja jaetaan

Ensimmäinen askel ymmärtää, miten tietoverkkoturva toimii, on hyväksyä, että verkkoasiakirjasi on jo skannattu. Valtio, lainvalvonta ja yksityiset yritykset etsivät epäilyttävää Internet-toimintaa. Roskapostittajat, botnetit ja haittaohjelmat hakkerointi sivustoihin, kuten Twitter, kuuluvat tietylle tietoverkkorikollisuudelle.

CISPA antaisi yksityisille yrityksille tietoja "tietoverkkorikollisuutta uhkaavista tiedoista"

CISPA antaisi yksityisille yrityksille tietoja lainvalvontaviranomaisten ja valtion virastojen kanssa, jos tiedot ovat kelpoisia siihen, mitä lakiehdotus kutsuu "tietoverkkorikollisuutta koskeviksi tietoiksi", jotka voisivat auttaa rikoksen selvittämisessä. Tämä termi epämääräisyys on suuri osa yksityisyyden ongelmaa, kertoo Jeramie Scott, kansallisen tietoturvamiehen sähköisen tietosuojatietokeskuksen. "Se käyttää termejä" verkon heikkous "ja" uhkaa verkon eheydelle "määritelmässä, joka jätetään yksityiselle sektorille tulkitsemaan", Scott sanoo.

Tietojen määritelmät ovat epämääräisiä, CISPA: n epämääräisyys antaa yksityisille yrityksille runsaasti liikkumavaraa tietojen ylittämiselle. "Sano, että sosiaalisen verkostoitumisen sivusto kärsii palvelunestohyökkäyksestä", Scott sanoo. "Sivusto voisi vain tarjota hallituksen kannalta tärkeämpiä diagnostisia tietoja, mutta se voi myös tarjota henkilökohtaisia ​​tietoja kaikista profiileista, mukaan lukien esimerkiksi, kenen kanssa olet yhteydessä, ja profiilin biotietoihin. sosiaalinen verkko katsotaan "tietoverkkorikollisuuden tietoinformaatioksi". "

Yhdysvaltain kansalaisvapauksien liiton lakimiesavustajan Michelle Richardsonin mukaan Nigeriasta saatavat typerät roskapostisi voivat tehdä tietosi oikeudenmukaiseksi peliksi lisätutkimuksia varten. "Nämä ovat jokapäiväisiä tapahtumia, jotka ovat tietoturvan tapahtumia laskun alla", Richardson sanoo. Electronic Frontier -säätiön aktivismijohtaja Rainey Reitman sanoo, että palvelu voisi jakaa tietoja, joita se pitää "tietoverkkorikollisuuden uhkana" ja jotka voisivat tehdä niin "ilman oikeudellista prosessia, kunhan se oli" hyvässä uskossa "ja" tietoturvan tarkoitus. ""

Tietojen jakaminen on helpompaa tai automaattista

ACLU: n Richardson lisää, että CISPA: n mukaan tietojen jakaminen on tasainen ja todella tasainen. Sen sijaan, että menisimme läpi prosessin, jossa hallitus nimenomaan pyytää tietoja, "he puhuvat jonkinlaisesta prosessista, joka automaattisesti siirtää asiat hallitukselle", Richardson sanoo.

Jos tietoja ajetaan automaattisesti, kun ja miten PII riistetään tiedoista tulee suurempi asia. Valitettavasti kukaan ei puhu siitä, että käyttäjäidentiteetit olisivat täysin nimettömiä. Ei, CISPA: n taustalla olevat ihmiset ovat tyytyväisiä pelkkään "minimointiin" - tekemällä kohtuullisia ponnisteluja PII: n poistamiseksi. EPIC: n Scott: "CISPA ei vaadi [yksityisyrittäjää] poistamaan tai muutoin rajoittamaan hallitukselle toimitettuja tietoja, kunhan se kuuluu laajalle sateenvarjoon tietoturva-informaatiota. "

Turvallisuusasiantuntijat etsivät trendejä, tiettyjen käyttäytymismuotojen esiintyvyyttä ja haittaohjelmien etenemismuotoja - ei henkilökohtaisia ​​tietoja. -David LeDuc, SIIA

Vaikka tarjottavan yrityksen mielestä olisi järkevää liukua PII: n tietojen jakamiseen, CISPA: n mukaan tämä tehtävä kuuluu hallitukselle. David LeDuc on CISPA: ta tukevien ohjelmistokehittäjien ja digitaalisten sisältöyritysten edustajana toimiva Software & Information Industry Association -yhtiön yleinen johtajisto. LeDuc pienentää PII: n merkitystä tietoverkkorikollisuudelle sanoessaan, että eturyhmät eivät ole kiinnostuneita tietoverkkorikollisuuden torjunnasta. "Turvallisuusasiantuntijat etsivät trendejä", hän sanoo, "tiettyjen käyttäytymistapojen esiintyvyyttä ja haittaohjelmien etenemismuotoja - ei henkilökohtaisia ​​tietoja."

LeDuc huomauttaa myös, että CISPAa muutettiin tekemästä hallitusperusteisen minimisoinnin valinnaiseksi tekemällä se on pakollista. "Liittovaltion hallituksen on minimoitava yksityiseltä sektorilta saadut tiedot tietojen keräämiseksi tietyistä henkilöistä, jotka eivät ole välttämättömiä tietoverkkorikollisuuden torjumiseksi", hän sanoo.

Tämä tarkistus ei kuitenkaan käsittele kysymystä siitä, mitä tapahtuu yksityiset yritykset jakavat tietoja. Koska vain hallitus pyrkii minimoimaan henkilökohtaisen tietojenkäsittelyn CISPA-järjestelmässä, yksityiset yritykset voivat jakaa suhteellisen PII-rikas tietoja keskenään tekemättä minkäänlaista pyrkimystä minimoida. Edustaja Adam Schiff (D-California) ilmoitti äänestyksensä CISPA: n äänestyksessä parlamentissa epäluottamuksestaan. "Yksityiset yksiköt voivat jakaa tietoja keskenään ilman, että ne käyvät läpi hallitusta", hän sanoi. "Näissä olosuhteissa, miten hallitus voi minimoida sen, mitä sillä ei koskaan ole? Joten vain hallituksen puolelta minimointi, joka on kaikki tämä lakiehdotus, ei riitä. "

Kongressi Schiff esitti muutoksen tämän porsaanreiän käsittelemiseksi, mutta hän valittaa, että CISPA: n sponsorit eivät koskaan tuoneet parlamentille äänestystä.

Mitä yksityiset yritykset huolehtivat: oikeusjuttuja

Tämän kaiken tämän keskustelun jakamisesta ja minimoimisesta, mitä CISPA todella näyttää olevan, on suojata niitä yrityksiä, jotka tarjoavat tietoja haastettavaksi. Kun kysyttiin, mikä on tärkein asia kuluttajille tietää CISPA: sta, SIIA: n LeDuc sanoi, että vastuun riskit estävät tietoverkkojen turvallisuutta. "Valitettavasti nykyisessä oikeudellisessa kehyksessä yritykset tai yksityiset yksiköt joutuvat sääntelyyn tai oikeustoimiin liittyvien riskien varalta jakamaan tietoja, joiden mielestä ne voivat olla arvokkaita tietoturvauhan tai -häiriöiden ehkäisemiseksi tai lieventämiseksi."

Useimmilla meillä ei ole aavistustakaan siitä, käytetäänkö tietojamme tai käytetään väärin, ellei se tule takaisin puremaan meitä.

Oikeudenkäynnin mahdollisuus on jokseenkin viehättävä. Kaiken kaikkiaan näiden valtavien tietojen skannausponnistusten avulla useimmilla meillä ei ole aavistustakaan siitä, käytetäänkö meitä tietoja tai käytetään väärin, ellei se tule takaisin puremaan meitä. Jos näin tapahtuisi, olisi kuitenkin mukavaa saada oikeudellinen turvautuminen. Tässä taas CISPA: n epämääräinen kieli suojaa tietoturvaa. ACLU: n Richardson sanoo: "Se ei ole vain sitä, mitä voit jakaa, mutta myös tekemiesi päätösten perusteella tehdyt päätökset immunisoidaan. He käytännössä käyttävät tätä termiä "päätökset tehty", mikä on uskomattoman laajaa.

"Hyvässä uskossa" on paljon hyvää tarkoittavaa vahinkoa

Mutta SIIAn LeDuc vaatii, että on olemassa prosessi. "Yksittäiset kansalaiset eivät menetä kykyään haastaa tai käyttää oikeussuojakeinoja", hän sanoo. "Kaikissa tapauksissa, joissa yritys on todettu toimimasta" vilpittömässä mielessä ", ne todennäköisesti olisivat vastuussa yksilön vahingoksi." EFF: n Reitmanin mukaan "hyvässä uskossa" voi helposti mennä mennessä. Vastuusta suojattuna yritykset voisivat jakaa enemmän tietoja vapaammin. Esimerkiksi Reitman sanoo, "Netflix voisi antaa hallitukselle luettelon nimistä, luottokorttien numeroista, kotiosoitteista ja tiliaktiviteetista jokaiselle, joka katseli elokuvaa Hakkerit

kolmen viikon aikana Netflixille kärsivät lievästä DDOS-hyökkäyksestä. "CISPA tarjoaa tällä hetkellä siviilivalvontaa tietojenvaihdosta Department of Homeland Securityin ja muiden yksiköiden kautta, mutta jos tiedot siirretään sitten sotilaalliselle kokonaisuudelle, valvonta päättyy.

" Emme koskaan tietävät, mitä he tekivät näiden tietojen kanssa ", Reitman sanoo. "Emme usko, että se olisi hyvässä uskossa, mutta asiakkaiden olisi vaikea löytää ja myöhemmin todistaa."

CISPA ei ehkä saa kauas

Tämä on CISPA: n toinen yritys voittaa senaatin hyväksyntä ja sen menestys ei ole kovinkaan varma - varsinkin kun otetaan huomioon puhemiehen selkeä aikomus vetää CISPAa nykyiseen muotoonsa. Vaikka mikään lainsäädäntö ei ole täydellinen, vastustajat viittaavat CISPA: n epämääräisyyteen ja porsaanreikiin pelitulpiksi. ACLU: n Richardson sanoo: "Ihmiset puhuvat Kiinasta, joka rikkoo teollis- ja tekijänoikeuksia. Jos he olisivat kirjoittaneet laskun siitä, meillä olisi vähemmän valituksia.

SISAATTEET valmistelevat myös vaihtoehtoista verkkoturvallisuuslainsäädäntöä - vaikka se ei toiminut viime vuonna, joko CISPA: n laaja-alainen ja leviää paljon päivittäistä toimintaa.. Senaattori John D. (Jay) Rockefeller (D-West Virginia) sponsoroi vuoden 2013 Cybersecurity ja American Cyber ​​Competitiveness Act -tapahtumaa (kun hän teki samanlaisen vuoden 2012 ponnistelun, joka pysähtyi). CISPA: n äänestyksessä julkaisemassa lehdistötiedotteessa senaattori Rockefeller totesi, että "tämänpäiväinen toiminta parlamentissa on tärkeää, vaikka CISPAn yksityisyyden suoja ei ole riittävä. Tarvitsemme toimia kaikkien sellaisten tekijöiden suhteen, jotka vahvistavat tietojärjestelmämme tietoturvaa, ei vain yhtä, ja senaatti saavuttaa sen. "Saimme tällä viikolla aikaan saman lakiesityksen yhteispelaaja, Senaattori Dianne Feinstein (D-California)., "Parhaillaan laadimme molemminpuolisen tiedon jakamista koskevan lakiesityksen ja jatkamme heti, kun pääsemme sopimukseen."

Billilla, kuten se on, näyttää siltä, ​​että verkkoturvallisuuden ja tietoturvapyrkimyksien välinen monimutkainen sotilas on. ACLU: n Richardson uskoo, että CISPA innoittaa senaatin löytääkseen paremman ratkaisun. "Kaikki muut tässä pelissä tarkastelevat jotakin kohdennettua ja strategista ja yksityisyyden suojaamista." Epätäydellinen vastaus on siellä jossain, toivottavasti pienellä kaverilla niin paljon suojaa kuin suurista tiedoista.