Ito ay privacy laban sa cybersecurity bilang CISPA bill dumating sa Senado

Update: Sa Huwebes, iniulat ng US News na ang CISPA "ay tiyak na tatanggihan," binabanggit ang mga komento na ginawa ng isang walang pangalan na kinatawan ng Komite ng Sobyet ng Estados Unidos sa Commerce, Agham at Transportasyon. Sinabi rin ng US News na si Michelle Richardson, tagapayong pambatasan sa ACLU, na nagsabing, "Sa palagay ko ay patay na ito ngayon. Ang kontrobersiyal na CISPA ay masyadong malawak, hindi lamang ito ang uri ng programa na isinagawa ng Senado noong nakaraang taon." Tinatantya ni Richardson na maaaring tumagal ng ilang buwan para sa mga bagong batas na bumoto.

Cybersecurity at privacy sa online ay dalawang kritikal na interes na tila nakalaan na hindi makakasama. Siguro, gusto mong malisyosong mga hacker, spammers, at iba pang mga lowlifes sa internet ang dinala sa hustisya-ngunit nais mo ring protektahan ang iyong online na data.

Ang isang malaking bahagi ng pakikipaglaban sa cybercrime, gayunpaman, ay nangangailangan ng pagtitipon ng halaga ng haystack ng pinagsama-samang data sa online i-scan ito para sa isang madulas na karayom ​​ng kahina-hinalang aktibidad. Ang iyong online na data ay maaaring swept sa isa sa mga tambak at na-scan. Ano ang mangyayari dito sa daan ay hulaan ng sinuman.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC] Ang unang hakbang sa pag-unawa kung paano gumagana ang cybersecurity ay tanggapin na ang iyong online na data ay ma-scan-at na

Iyon ang dahilan kung bakit nais mong pagmasdan ang Cyber ​​Intelligence Sharing and Protection Act (CISPA), na pumasa sa US House of Representatives noong nakaraang linggo at ngayon ay isinasaalang-alang ng Senado, kung saan ito ay kasalukuyang nasa komite. Nilalayon ng CISPA na paluwagin ang mga paghihigpit na kasalukuyang namamahala sa pagbabahagi ng data sa mga investigator ng cybersecurity. Ito ay maaaring sapat na makatwiran, ngunit ang kontrobersya ay lumalabas sa kung paano ang paghawak ng data-partikular, kung paano ito ibinahagi, at kung paano pinaliit ang impormasyon na maaaring makilala (PII).

Bilang karagdagan, ang panukalang batas ay lumilikha ng isang mataas na antas ng kaligtasan sa sakit mula sa mga lawsuits para sa mga gobyerno at pribadong kumpanya na nagbabahagi ng data.

Hindi, kung ang iyong data ay na-scan at ibinahagi

Ang unang hakbang sa pag-unawa kung paano gumagana ang cybersecurity ay tanggapin na ang iyong online na data ay na-scan na. Ang lahat ng gobyerno, tagapagpatupad ng batas, at mga pribadong kumpanya ay naghahanap ng nakakahamak na aktibidad sa Internet. Ang mga spammer, botnet, at mga nakakahamak na hack sa mga site tulad ng Twitter ay nahulog sa isang malawak na kategorya ng cybercrime.

Ang CISPA ay nagpapahintulot sa mga pribadong kumpanya na magbahagi ng data na itinuturing na "impormasyon sa pagbabanta ng cyber."

Papayagan ng CISPA ang mga pribadong kumpanya na ibahagi ang data sa mga opisyal ng pagpapatupad ng batas at mga ahensya ng gobyerno kung ang data ay kuwalipikado bilang kung ano ang bill na tinatawag na "cyber threat information" na maaaring makatulong na malutas ang isang krimen. Ang labis na terminong iyon ay isang malaking bahagi ng problema sa pagkapribado, sabi ni Jeramie Scott, pambansang seguridad na kapwa sa Electronic Privacy Information Centre. "Ginagamit nito ang mga termino tulad ng 'kahinaan sa isang network' at 'banta sa integridad ng isang network' sa kahulugan nito na naiwan sa pribadong sektor upang bigyan ng kahulugan," sabi ni Scott.

Ang mga kahulugan na sumasakop sa data ay hindi sapat upang mag-imbita ng oversharing

Ang kabaligtaran ng CISPA ay nagbibigay ng mga pribadong kumpanya ng maraming kakaunti ang silid upang mag-share ng impormasyon. "Sabihin sa isang site ng social networking na naghihirap sa isang pag-atake sa pagtanggi-sa-serbisyo," sabi ni Scott. "Ang site ay maaari lamang mag-alok ng higit na may-katuturang mga detalye ng diagnostic sa gobyerno, ngunit maaari rin itong magbigay ng personal na impormasyon sa lahat ng mga apektadong profile-kabilang ang, halimbawa, kung sino ang iyong konektado, at mga detalye ng profile ng bio-hangga't ang tinukoy ng social network ang bahagi ng impormasyon ng 'impormasyon sa pagbabanta ng cyber.' "

Ayon sa pambatasan na payo ni Michelle Richardson ng American Civil Liberties Union, ang bawat bobo na natanggap mo mula sa Nigeria ay maaaring gumawa ng iyong data fair game para sa karagdagang imbestigasyon. "Ang mga ito ay pangyayari araw-araw na mga kaganapan sa cybersecurity sa ilalim ng bill," sabi ni Richardson. Sinabi ni Rainey Reitman, direktor sa aktibismo sa Electronic Frontier Foundation, na ang isang serbisyo ay maaaring magbahagi ng anumang data na itinuturing na "impormasyon sa pagbabanta ng cyber" at maaaring gawin ito "nang walang legal na proseso, hangga't ito ay nasa 'mabuting pananampalataya' at para sa isang ' layunin ng cybersecurity. '"

Ang pagbabahagi ng data ay magiging mas madali-o awtomatikong

Ang Richardson ng ACLU ay nagdaragdag na sa ilalim ng CISPA, ang pagbabahagi ng data ay magiging makinis-talagang makinis. Sa halip na dumaan sa isang proseso kung saan ang gobyerno ay partikular na humiling ng impormasyon, "ang mga ito ay nagsasalita tungkol sa ilang uri ng proseso na awtomatikong magpapasa ng mga bagay sa pamahalaan," sabi ni Richardson.

Kung awtomatikong dadalhin ang data, kung kailan at kung paano ang PII ay nakuha mula sa data ay nagiging mas malaking isyu. Sa kasamaang palad, walang sinuman ang nagsasalita tungkol sa paggawa ng mga pagkakakilanlan ng gumagamit nang lubos na hindi nakikilala. Hindi, ang mga tao sa likod ng CISPA ay nasisiyahan lamang sa "minimization" -sa paggawa ng makatwirang pagsisikap upang alisin ang PII. Narito kung saan ang kahulugan ng "impormasyon sa pagbabanta ng cyber" ay muling nagaganap, sabi ni EPIC's Scott: "Hindi nangangailangan ng CISPA [isang pribadong kumpanya] na alisin o kung hindi man ay makitid ang impormasyong ibinigay sa gobyerno hangga't ito ay bumaba sa ilalim ng malawak na payong ng impormasyon sa pagbabanta ng cyber. "

Mga eksperto sa seguridad ang naghahanap ng mga uso, ang pagkalat ng ilang mga pag-uugali, at mga pattern ng pagpapalaganap para sa malware-hindi sa personal na impormasyon. -David LeDuc, SIIA Kahit na tila may kahulugan para sa pagbibigay ng kumpanya upang i-strip ang PII mula sa data na kanilang ibinabahagi, sa ilalim ng CISPA na gawain ay bumaba sa gobyerno. Si David LeDuc ay senior director ng pampublikong patakaran para sa Software at Impormasyon Industry Association, isang pangunahing pangkat ng kalakalan na kumakatawan sa mga developer ng software at digital na mga negosyo ng nilalaman, na sumusuporta sa CISPA. Ang LeDuc ay bumababa sa kahalagahan ng PII sa cybersecurity, na nagsasabi na ito ay hindi kung ano ang interes ng mga propesyonal na nakikibahagi sa labanan ang cybercrime. "Ang mga eksperto sa seguridad ay naghahanap ng mga uso," sabi niya, "ang pagkalat ng ilang mga pag-uugali, at mga pattern ng pagpapalaganap para sa malware-hindi sa personal na impormasyon."

Tinutukoy din ni LeDuc na ang CISPA ay sinususugan mula sa paggawa ng minimization na batay sa pamahalaan na opsyonal sa paggawa ito ay sapilitan. "Ang pederal na pamahalaan ay dapat na mabawasan ang impormasyon na natatanggap mula sa pribadong sektor upang kumuha ng impormasyon tungkol sa mga partikular na tao na hindi kinakailangan upang tumugon sa isang banta ng cyber," sabi niya.

Gayunpaman, ang susog na ito ay hindi tumutugon sa tanong kung ano ang mangyayari sa ang data na ibinahagi sa pagitan ng mga pribadong kumpanya. Sapagkat tanging ang pamahalaan ang may trabaho sa pagliit ng PII sa ilalim ng CISPA, ang mga pribadong kumpanya ay maaaring magbahagi ng mga datos na mayaman sa PII sa kanilang mga sarili nang walang pagsisikap sa pag-minimize. Sa pagsasalita bago bumoto sa CISPA, kinatawan ng Kinatawan ni Adan Schiff (D-California) ang kanyang hindi pagsang-ayon. "Ang mga pribadong entity ay maaaring magbahagi ng impormasyon sa bawat isa na hindi kailanman dumaan sa gobyerno," sabi niya. "Sa mga sitwasyong iyon, paano maiiwasan ng gobyerno ang hindi kailanman nauukol nito? Kaya minimisasyon ng pamahalaan na nag-iisa, na ang lahat ng bill na ito ay nagsasama, ay hindi sapat. "

Kongresista Schiff ay nagpakilala ng isang susog upang matugunan ang lusot na ito, ngunit nagrereklamo siya na ang mga sponsors ng CISPA ay hindi nagdala nito bago ang House para sa isang boto.

Ano ang pag-aaruga ng mga pribadong kumpanya: mga demanda

Sa ilalim ng lahat ng pahayag na ito ng pagbabahagi at pagliit, kung ano talaga ang tungkol sa CISPA ay nagpoprotekta sa mga kumpanya na nagbibigay ng data na inaakusahan para sa paggawa nito. Nang tanungin kung ano ang pinakamahalagang bagay para malaman ng mga mamimili tungkol sa CISPA, sinabi ng SID ng LeDuc na ang mga panganib sa pananagutan ay nakakaalam sa mga pagsisikap sa cybersecurity. "Sa kasamaang palad, sa ilalim ng kasalukuyang legal na balangkas, mga kumpanya, o anumang pribadong entidad, nakaharap ang panganib ng regulasyon o legal na pagkilos para sa pagbabahagi ng impormasyon na naniniwala sila ay maaaring maging mahalaga para sa pagpigil o pagpapagaan sa isang cybersecurity na banta o insidente," sabi niya

Karamihan sa atin ay walang ideya kung ang aming data ay ginagamit o hindi ginagamit, maliban kung ito ay bumalik sa kagat sa amin.

Ang pag-asa ng paglilitis ay medyo kakaiba. Pagkatapos ng lahat, sa pamamagitan ng mga malaking pagsisikap sa pag-scan ng data, karamihan sa atin ay walang ideya kung ang aming data ay ginagamit o hindi ginagamit, maliban kung ito ay bumalik sa kagat sa amin. Kung mangyari iyan, gayunpaman, magiging mabait na magkaroon ng isang proseso para sa legal na paglipat. Dito muli, ang malabo na wika ng CISPA ay ginagawang mas mahirap na protektahan ang pagiging pribado. Ang ACLU's Richardson ay nagsabi, "Hindi lamang kung ano ang maaari mong ibahagi, ngunit ang anumang mga desisyon na iyong ginagawa batay sa impormasyong ibinahagi ay nabakunahan din. Sa katunayan, ginagamit nila ang terminong iyon, 'ginawa ang mga desisyon,' na kung saan ay sobrang sobra. "

'Mabuting pananampalataya' ay sumasaklaw sa maraming mahusay na balak na pinsala

Ngunit ang LeDuc ng SIIA ay nagpapilit na mayroong proseso. "Ang mga indibidwal na mamamayan ay hindi mawawala ang kanilang kakayahang maghabla o magamit ang mga korte para sa katarungan," sabi niya. "Anumang kaso kung saan ang isang kumpanya ay natagpuan na hindi kumilos sa 'mabuting pananampalataya,' malamang na sila ay mananagot para sa pinsala sa isang indibidwal."

Reitman ng EFF says na ang takip ng "mabuting pananampalataya" ay madaling pumunta masyadong malayo. Protektado mula sa pananagutan, ang mga kumpanya ay maaaring magbahagi ng mas maraming data nang mas malaya. Halimbawa, sabi ni Reitman, "maaaring ibigay ng Netflix sa gobyerno ang isang listahan ng mga pangalan, numero ng credit card, address ng bahay, at aktibidad ng account para sa lahat na nanonood ng pelikula Hacker sa loob ng tatlong linggo na humahantong sa Netflix nagdurusa ang isang malupit na atake ng DDOS. "Ang kasalukuyang CISPA ay nagkakaloob ng pangangasiwa ng sibilyan sa pagbabahagi ng data sa pamamagitan ng Kagawaran ng Homeland Security at iba pang mga entidad, ngunit kung ang datos ay pagkatapos ay maipasa sa isang militar na entity, ang pangangasiwa ay nagtatapos. alam kung ano ang ginawa nila sa data na iyon, "sabi ni Reitman. "Hindi namin iniisip na magiging may mabuting pananampalataya, ngunit mahirap para sa mga customer na matuklasan at mamaya patunayan."

CISPA ay hindi maaaring makakuha ng malayo

Ito ang pangalawang pagtatangka ng CISPA na manalo ng pag-apruba ng Senado, at ang tagumpay nito ay malayo sa tiyak na-lalo na kung ang malinaw na sinabi ng Pangulo sa pagboto sa CISPA sa kasalukuyang anyo nito. Kahit na walang piraso ng batas ay perpekto, ang mga kalaban ay tumuturo sa kabulagan at mga butas ng CISPA bilang mga laro-stopper. Sinabi ng ACLU's Richardson, "Ang mga tao ay pinag-uusapan ang tungkol sa Tsina na pumasok at nagnanakaw ng intelektwal na ari-arian. Kung nagsulat sila ng isang bayarin tungkol dito, magkakaroon kami ng mas kaunting reklamo. Ang CISPA ay lumalawak at kumakain ng maraming pang-araw-araw na aktibidad. "

Ipinapakita ng CISPA ang kumplikadong tugtog ng digmaan sa pagitan ng mga online na privacy at cybersecurity na pagsisikap.

Ang mga senador ay naghahanda din ng alternatibong batas sa cybersecurity-bagama't hindi ito gumana noong nakaraang taon. Ang Senador John D. (Jay) Rockefeller (D-West Virginia) ay nag-iisponsor sa Cybersecurity at American Cyber ​​Competitiveness Act ng 2013 (tulad ng ginawa niya sa katulad na pagsisikap na 2012 na tumigil). Sa isang pahayag na ipinaskil matapos ang pagboto ng House sa CISPA, sinabi ni Senador Rockefeller, "Ang pagkilos sa Bahay sa ngayon ay mahalaga, kahit hindi sapat ang mga proteksyon sa privacy ng CISPA. Kailangan namin ng pagkilos sa lahat ng mga sangkap na magpapalakas sa aming cybersecurity, hindi lamang isa, at iyon ang makukuha ng Senado. "Naabot nang mas maaga sa linggong ito, si Senador Dianne Feinstein (D-California), isang co-sponsor ng parehong bill,, "Kasalukuyan naming hinuhubog ang isang bill ng pagbabahagi ng impormasyon ng dalawang partido at magpapatuloy sa lalong madaling panahon na dumating kami sa isang kasunduan."

Ang paniningil na ito ay nagpapakita ng kumplikadong tugtog ng digmaan sa pagitan ng mga online na privacy at cybersecurity na pagsisikap. Naniniwala ang Richardson ng ACLU na pukawin ng CISPA ang Senado upang makahanap ng mas mahusay na solusyon. "Ang lahat ng iba pa sa larong ito ay tumitingin sa isang bagay na higit na naka-target at istratehiya at protektado ng privacy." Ang di-sakdal na sagot ay nasa isang lugar, inaasahan na may mas maraming proteksyon para sa maliit na tao na tila para sa malaking data.