Riêng tư so với an ninh mạng vì hóa đơn CISPA đến Thượng viện

Cập nhật: Hôm thứ Năm, US News báo cáo rằng CISPA "gần như chắc chắn sẽ bị hoãn", trích dẫn ý kiến ​​của một đại diện chưa được đặt tên của Ủy ban Thượng viện Hoa Kỳ về Thương mại, Khoa học và Giao thông vận tải. US News cũng trích dẫn Michelle Richardson, cố vấn lập pháp với ACLU, người nói, "Tôi nghĩ nó đã chết rồi. CISPA quá gây tranh cãi, nó quá rộng, nó không giống như chương trình mà Thượng viện dự tính năm ngoái." Richardson ước tính có thể phải mất vài tháng để luật mới được đưa ra biểu quyết.

Bảo mật mạng và quyền riêng tư trực tuyến là hai lợi ích quan trọng dường như không bao giờ có được. Chắc chắn, bạn muốn các tin tặc, kẻ gửi thư rác và các thư rác Internet khác mang đến công lý - nhưng bạn cũng muốn bảo vệ dữ liệu trực tuyến của mình.

Một phần lớn của cuộc chiến trực tuyến, yêu cầu thu thập dữ liệu trực tuyến tổng hợp của cỏ khô quét nó cho một kim khó nắm bắt của hoạt động đáng ngờ. Dữ liệu trực tuyến của bạn có thể được quét vào một trong các cọc và quét. Điều gì xảy ra với nó trên đường đi là suy đoán của bất kỳ ai.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn] Bước đầu tiên để hiểu cách hoạt động của bảo mật mạng là chấp nhận rằng dữ liệu trực tuyến của bạn sẽ được quét và đang

Đó là lý do tại sao bạn sẽ muốn theo dõi Đạo luật bảo vệ và chia sẻ thông tin trên mạng (CISPA), đã thông qua Hạ viện Hoa Kỳ vào tuần trước và hiện đang được Thượng viện xem xét, nơi hiện tại đang trong ủy ban. CISPA nhằm mục đích nới lỏng các hạn chế hiện đang chi phối việc chia sẻ dữ liệu giữa các nhà điều tra an ninh mạng. Điều đó nghe có vẻ hợp lý, nhưng tranh cãi nảy sinh về cách dữ liệu được xử lý cụ thể, cách chia sẻ dữ liệu và cách thông tin nhận dạng cá nhân (PII) được giảm thiểu.

Ngoài ra, hóa đơn cũng tạo ra mức miễn dịch cao từ các vụ kiện cho chính phủ và các công ty tư nhân chia sẻ dữ liệu. Điều này không thật sự an ủi khi họ chia sẻ dữ liệu của bạn.

Khi nào, nếu không, dữ liệu của bạn được quét và chia sẻ

Bước đầu tiên để hiểu cách hoạt động của bảo mật mạng là chấp nhận dữ liệu trực tuyến của bạn đã được quét. Chính phủ, cơ quan thực thi pháp luật và công ty tư nhân đều đang tìm kiếm các hoạt động Internet đáng ngờ. Những kẻ gửi spam, botnet và hack hiểm độc vào các trang web như Twitter rơi vào một phạm vi rộng lớn của tội phạm mạng. Mối quan tâm thậm chí còn lớn hơn là nỗ lực tấn công “cơ sở hạ tầng quan trọng” (như các tiện ích điện và nước, và mạng lưới giao tiếp), hoặc thường dân.

CISPA sẽ cho phép các công ty tư nhân chia sẻ dữ liệu được coi là "thông tin đe dọa trên mạng". CISPA sẽ cho phép các công ty tư nhân chia sẻ dữ liệu với các quan chức thực thi pháp luật và các cơ quan chính phủ nếu dữ liệu đủ điều kiện hóa đơn gọi là “thông tin đe dọa mạng” có thể giúp giải quyết một tội phạm. Jeramie Scott, nhân viên an ninh quốc gia tại Trung tâm thông tin bảo mật điện tử nói rằng sự mơ hồ của thuật ngữ đó là một phần quan trọng trong vấn đề bảo mật. “Nó sử dụng các thuật ngữ như 'lỗ hổng cho mạng' và 'đe dọa đến tính toàn vẹn của một mạng' trong định nghĩa của nó để lại cho khu vực tư nhân để giải thích,” Scott nói.

Sự mơ hồ của CISPA mang đến cho các công ty tư nhân rất nhiều phòng lung linh để vượt qua thông tin. “Nói một trang mạng xã hội bị một cuộc tấn công từ chối dịch vụ,” Scott nói. “Trang web chỉ có thể cung cấp chi tiết chẩn đoán có liên quan hơn cho chính phủ, nhưng nó cũng có thể cung cấp thông tin cá nhân trên tất cả các hồ sơ bị ảnh hưởng, bao gồm, những người bạn kết nối và chi tiết tiểu sử hồ sơ miễn là mạng xã hội coi phần thông tin của 'thông tin đe dọa mạng'. ”

Theo luật sư lập pháp Michelle Richardson của Liên minh Tự do Dân sự Hoa Kỳ, mọi thư rác ngu ngốc mà bạn nhận được từ Nigeria có thể làm cho trò chơi công bằng dữ liệu của bạn được điều tra thêm. "Đây là những sự kiện hàng ngày là sự kiện an ninh không gian mạng theo dự luật", Richardson nói. Rainey Reitman, giám đốc hoạt động tại Electronic Frontier Foundation, nói rằng một dịch vụ có thể chia sẻ bất kỳ dữ liệu nào mà nó cho là "thông tin đe dọa trên mạng" và có thể làm như vậy "mà không có quy trình pháp lý, miễn là nó có" đức tin tốt "và" Mục đích an ninh mạng. '”

Chia sẻ dữ liệu sẽ dễ dàng hơn hoặc tự động

Richardson của ACLU cho biết thêm rằng theo CISPA, việc chia sẻ dữ liệu sẽ trơn tru. Thay vì phải trải qua một quá trình mà chính phủ yêu cầu cụ thể thông tin, "họ đang nói về một số loại quy trình tự động chuyển tiếp nội dung cho chính phủ", Richardson nói.

Nếu dữ liệu được định tuyến tự động, khi nào và làm thế nào PII bị tước khỏi dữ liệu trở thành một vấn đề lớn hơn. Thật không may, không ai đang nói về việc làm cho danh tính người dùng hoàn toàn ẩn danh. Không, những người đứng đằng sau CISPA hài lòng với việc “giảm thiểu” - thực hiện một nỗ lực hợp lý để loại bỏ PII. Đây là nơi định nghĩa “thông tin đe dọa mạng” một lần nữa được phát hành, Scott cho biết: “CISPA không yêu cầu [một công ty tư nhân] loại bỏ hoặc thu hẹp thông tin được cung cấp cho chính phủ miễn là nó rơi dưới ô rộng thông tin về mối đe dọa trên mạng. ”

Chuyên gia bảo mật tìm kiếm xu hướng, mức độ phổ biến của các hành vi nhất định và các mẫu tuyên truyền cho phần mềm độc hại - không phải thông tin cá nhân. -David LeDuc, SIIA

Mặc dù nó có vẻ có ý nghĩa đối với công ty cung cấp để loại bỏ PII khỏi dữ liệu mà họ chia sẻ, theo CISPA rằng nhiệm vụ thuộc về chính phủ. David LeDuc là giám đốc cao cấp của chính sách công cho Hiệp hội Công nghiệp Phần mềm & Thông tin, một nhóm thương mại lớn đại diện cho các nhà phát triển phần mềm và các doanh nghiệp nội dung số, hỗ trợ CISPA. LeDuc làm giảm tầm quan trọng của PII trong an ninh mạng, nói rằng nó không phải là những gì các chuyên gia quan tâm tham gia vào chiến đấu chống tội phạm mạng. "Các chuyên gia bảo mật tìm kiếm xu hướng", ông nói, "sự phổ biến của các hành vi nhất định, và các mẫu tuyên truyền cho phần mềm độc hại - không phải thông tin cá nhân."

LeDuc cũng chỉ ra rằng CISPA đã được sửa đổi từ việc giảm thiểu nó bắt buộc. "Chính phủ liên bang phải giảm thiểu thông tin nó nhận được từ khu vực tư nhân để đưa ra thông tin về những người cụ thể không cần thiết để đáp ứng với một mối đe dọa trên mạng", ông nói.

Tuy nhiên, sửa đổi này không giải quyết được câu hỏi về những gì xảy ra dữ liệu được chia sẻ giữa các công ty tư nhân. Bởi vì chỉ có chính phủ có công việc giảm thiểu PII theo CISPA, các công ty tư nhân có thể chia sẻ các dữ liệu tương đối giàu PII với nhau mà không cần nỗ lực gì để giảm thiểu. Khi nói trước cuộc bỏ phiếu của Tòa nhà về CISPA, Đại diện Adam Schiff (D-California) đã làm rõ sự phản đối của ông. "Các thực thể tư nhân có thể chia sẻ thông tin với nhau mà không bao giờ đi qua chính phủ", ông nói. “Trong những trường hợp đó, làm thế nào chính phủ có thể giảm thiểu những gì nó không bao giờ sở hữu? Vì vậy, chính phủ Schiff đã giới thiệu một sửa đổi để giải quyết lỗ hổng này, nhưng ông than phiền rằng các nhà tài trợ của CISPA không bao giờ mang nó trước Tòa nhà để bỏ phiếu.

Điều mà các công ty tư nhân quan tâm: kiện tụng

Bên dưới tất cả những chia sẻ và giảm thiểu, những gì CISPA thực sự có vẻ là bảo vệ các công ty cung cấp dữ liệu khỏi bị kiện vì làm như vậy. Khi được hỏi điều quan trọng nhất để người tiêu dùng biết về CISPA, LeDuc của SIIA cho biết những rủi ro trách nhiệm là cản trở các nỗ lực an ninh mạng. "Thật không may, theo khuôn khổ pháp lý hiện hành, các công ty, hoặc bất kỳ thực thể tư nhân nào, phải đối mặt với nguy cơ hành động pháp lý hoặc pháp lý để chia sẻ thông tin mà họ cho là có giá trị để ngăn chặn hoặc giảm thiểu mối đe dọa an ninh mạng hoặc sự cố".Hầu hết chúng ta sẽ không biết liệu dữ liệu của chúng ta đang được sử dụng hay bị lạm dụng, trừ khi nó trở lại để cắn chúng ta.

Tiềm năng kiện tụng hơi lạ. Xét cho cùng, với những nỗ lực quét dữ liệu khổng lồ này, hầu hết chúng ta sẽ không biết liệu dữ liệu của chúng ta đang được sử dụng hay sử dụng sai, trừ khi nó quay lại cắn chúng ta. Tuy nhiên, nếu điều đó xảy ra, sẽ tốt hơn nếu bạn có một quy trình đòi hỏi pháp lý. Ở đây một lần nữa, ngôn ngữ mơ hồ của CISPA làm cho quyền riêng tư khó bảo vệ hơn. Richardson của ACLU nói, “Nó không chỉ là những gì bạn có thể chia sẻ, nhưng bất kỳ quyết định nào bạn đưa ra dựa trên thông tin được chia sẻ cũng được chủng ngừa. Họ thực sự sử dụng thuật ngữ đó, 'các quyết định được tạo ra', cực kỳ rộng. ”

'Đức tin tốt' bao gồm rất nhiều thiệt hại có ý tốt

Nhưng LeDuc của SIIA khẳng định rằng có một quá trình. "Công dân cá nhân không mất khả năng kiện hoặc sử dụng các tòa án để giải quyết," ông nói. “Bất kỳ trường hợp nào mà một công ty đã được tìm thấy không hành động theo 'đức tin tốt', họ có thể sẽ chịu trách nhiệm gây tổn hại cho một cá nhân.”

Reitman của EFF nói rằng trang bìa của “đức tin tốt” cũng có thể dễ dàng xa. Được bảo vệ khỏi trách nhiệm pháp lý, các công ty có thể chia sẻ nhiều dữ liệu hơn một cách tự do. Ví dụ, Reitman nói, “Netflix có thể cung cấp cho chính phủ danh sách tên, số thẻ tín dụng, địa chỉ nhà và hoạt động tài khoản cho tất cả những người xem phim

Tin tặc

trong ba tuần dẫn tới Netflix CISPA hiện đang cung cấp sự giám sát dân sự về chia sẻ dữ liệu thông qua Bộ An ninh Nội địa và các tổ chức khác, nhưng nếu dữ liệu được chuyển đến một thực thể quân sự, sự giám sát kết thúc.

biết họ đã làm gì với dữ liệu đó, ”Reitman nói. "Chúng tôi không nghĩ rằng điều đó sẽ có thiện chí, nhưng sẽ khó cho khách hàng khám phá và sau đó chứng minh."

CISPA có thể không đạt được Đây là nỗ lực thứ hai của CISPA để giành được sự chấp thuận của Thượng viện, và thành công của nó là xa nhất định - đặc biệt là cho ý định rõ ràng của Tổng thống để phủ quyết CISPA trong hình thức hiện tại của nó. Mặc dù không có luật pháp nào là hoàn hảo, nhưng đối thủ chỉ ra sự mơ hồ và sơ hở của CISPA là các nút trò chơi. Richardson của ACLU nói, “Mọi người đang nói về Trung Quốc xâm nhập và đánh cắp tài sản trí tuệ. Nếu họ đã viết một hóa đơn về điều đó, chúng tôi sẽ có ít khiếu nại hơn. CISPA mở rộng và quét sạch rất nhiều hoạt động hàng ngày. ” CISPA cho thấy sự kéo dài phức tạp giữa sự riêng tư trực tuyến và các nỗ lực bảo mật mạng.

Thượng nghị sĩ cũng đang chuẩn bị luật an ninh mạng thay thế.. Thượng nghị sĩ John D. (Jay) Rockefeller (D-West Virginia) đang tài trợ Đạo luật về bảo mật mạng và hành vi cạnh tranh của Mỹ năm 2013 (khi ông thực hiện một nỗ lực tương tự năm 2012 bị đình trệ). Trong một thông cáo báo chí được đăng sau cuộc bỏ phiếu của Nhà ở CISPA, Thượng nghị sĩ Rockefeller nói, “Hành động hôm nay trong Nhà là quan trọng, ngay cả khi sự bảo vệ quyền riêng tư của CISPA là không đủ. Chúng tôi cần hành động trên tất cả các yếu tố sẽ tăng cường an ninh mạng của chúng tôi, không chỉ một, và đó là những gì Thượng viện sẽ đạt được. ”Đã đến đầu tuần này, Thượng nghị sĩ Dianne Feinstein (D-California), một nhà đồng tài trợ cùng một dự luật, cho biết "Chúng tôi hiện đang soạn thảo một hóa đơn chia sẻ thông tin lưỡng đảng và sẽ tiến hành ngay sau khi chúng tôi đi đến một thỏa thuận."

Dự luật cho thấy cuộc đấu tranh phức tạp giữa sự riêng tư trực tuyến và nỗ lực bảo mật mạng. Richardson của ACLU tin rằng CISPA sẽ truyền cảm hứng cho Thượng viện để tìm một giải pháp tốt hơn. "Mọi người khác trong trò chơi này đang xem xét một thứ gì đó được nhắm mục tiêu và chiến lược và bảo vệ riêng tư hơn." Câu trả lời không hoàn hảo là ở đâu đó, hy vọng với sự bảo vệ nhiều cho chàng trai nhỏ vì dường như có dữ liệu lớn.