Datenschutz und Cybersicherheit, da der CISPA-Gesetzentwurf im Senat vorliegt

Update: Am Donnerstag berichteten US-Nachrichten, dass CISPA "mit ziemlicher Sicherheit auf Eis gelegt wird", wobei er Kommentare eines nicht genannten Vertreters des US-Senatsausschusses für Handel, Wissenschaft und Verkehr zitiert. US News zitierte auch Michelle Richardson, Legislative Counsel bei der ACLU, die sagte: "Ich denke, es ist vorerst tot. CISPA ist zu kontrovers, es ist zu expansiv, es ist einfach nicht die gleiche Art von Programm, die der Senat letztes Jahr in Betracht gezogen hat." Richardson schätzt, dass es mehrere Monate dauern könnte, bis eine neue Gesetzgebung zur Abstimmung kommt.

Cybersicherheit und Online-Privatsphäre sind zwei kritische Interessen, die dazu bestimmt sind, nie miteinander auszukommen. Sicher, Sie möchten, dass böswillige Hacker, Spammer und andere Internetniedriglinge vor Gericht gebracht werden - aber Sie möchten auch Ihre Online-Daten schützen.

Ein großer Teil der Cyberkriminalitätsbekämpfung erfordert jedoch das Sammeln von gesammelten Online-Daten im Heuhaufen Scannen Sie es für eine schwer zu identifizierende Anzahl verdächtiger Aktivitäten. Ihre Online-Daten könnten in einen dieser Stapel gefegt und gescannt werden. Was dabei geschieht, ist eine Vermutung.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC] Der erste Schritt, um zu verstehen, wie Cybersicherheit funktioniert, besteht darin, zu akzeptieren, dass Ihre Online-Daten gescannt werden - und es bereits ist gescannt.

Deshalb sollten Sie das Cyber ​​Intelligence Sharing und Protection Act (CISPA) im Auge behalten, das letzte Woche das US-Repräsentantenhaus passiert hat und nun vom Senat geprüft wird, wo es sich derzeit im Ausschuss befindet. CISPA zielt darauf ab, Beschränkungen zu lockern, die derzeit den Austausch von Daten zwischen Cybersicherheits-Ermittlern regeln. Das mag vernünftig klingen, aber die Kontroverse entsteht darüber, wie die Daten gehandhabt werden - insbesondere, wie sie geteilt werden und wie persönlich identifizierbare Informationen (PII) minimiert werden.

Darüber hinaus schafft das Gesetz ein hohes Maß an Immunität vor Klagen für die Regierung und private Unternehmen, die Daten teilen. Das ist nicht gerade beruhigend, wenn Sie Ihre Daten teilen.

Wenn Ihre Daten nicht gescannt und geteilt werden

Der erste Schritt, um zu verstehen, wie Cybersicherheit funktioniert, besteht darin, zu akzeptieren, dass Ihre Online-Daten bereits gescannt werden. Behörden, Strafverfolgungsbehörden und private Unternehmen suchen nach verdächtig aussehenden Internetaktivitäten. Spammer, Botnets und bösartige Hacks in Websites wie Twitter fallen in eine breite Kategorie von Cyberkriminalität. Noch besorgniserregender sind Versuche, "kritische Infrastrukturen" (z. B. Strom- und Wasserversorgungsunternehmen und Kommunikationsnetze) oder Zivilisten anzugreifen.

CISPA würde privaten Unternehmen erlauben, Daten zu teilen, die als "Cyber ​​Threat Information" betrachtet werden.

CISPA würde privaten Unternehmen erlauben, Daten mit Strafverfolgungsbeamten und Regierungsbehörden auszutauschen, wenn die Daten als "Cyber-Bedrohungsinformationen" eingestuft werden, die zur Aufklärung eines Verbrechens beitragen könnten. Die Unbestimmtheit dieses Begriffs ist ein großer Teil des Datenschutzproblems, sagt Jeramie Scott, nationale Sicherheitsbeauftragte im Electronic Privacy Information Center. "In seiner Definition werden Begriffe wie" Anfälligkeit für ein Netzwerk "und" Bedrohung für die Integrität eines Netzwerks "verwendet, die der private Sektor interpretieren muss", erklärt Scott.

Definitionen, die Daten abdecken, sind vage genug, um ein Overharing einzuleiten

Die Vagheit von CISPA gibt privaten Unternehmen viel Spielraum, um Informationen zu teilen. "Nehmen wir an, eine Social-Networking-Site erleidet einen Denial-of-Service-Angriff", sagt Scott. "Die Website könnte der Regierung nur die relevanteren diagnostischen Details anbieten, aber sie könnte auch die persönlichen Informationen zu allen betroffenen Profilen bereitstellen - einschließlich zum Beispiel, mit wem Sie verbunden sind und Profil-Bio-Details -, solange die Das soziale Netzwerk gilt als Informationsteil der "Cyber ​​Threat Information".

Nach Ansicht von Legislative Counsel Michelle Richardson von der American Civil Liberties Union kann jeder dumme Spam, den du von Nigeria erhältst, deine Daten zu fairen Spielen für weitere Ermittlungen machen. "Dies sind alltägliche Ereignisse, bei denen es um Cybersicherheit geht", sagt Richardson. Rainey Reitman, Aktivismus-Direktorin bei der Electronic Frontier Foundation, sagt, dass ein Dienst alle Daten, die er als "Cyber ​​Threat Information" ansieht, teilen könnte und dies "ohne legalen Prozess tun könnte, solange es in gutem Glauben und für eine" Cybersecurity-Zweck. ""

Datenfreigabe wird einfacher oder automatisch

Richardson von ACLU fügt hinzu, dass unter CISPA die gemeinsame Datennutzung reibungslos und reibungslos funktioniert. Anstatt einen Prozess zu durchlaufen, in dem die Regierung gezielt Informationen anfordert, "sprechen sie von einem Prozess, der automatisch Dinge an die Regierung weiterleitet", sagt Richardson.

Wenn Daten automatisch weitergeleitet werden, Wann und wie PII aus den Daten entfernt wird, wird ein größeres Problem. Leider spricht niemand darüber, Benutzeridentitäten völlig anonym zu machen. Nein, die Leute, die hinter CISPA stehen, sind mit der bloßen "Minimierung" zufrieden, die vernünftige Anstrengungen unternimmt, um PII zu entfernen. Hier kommt die Definition von "Cyber ​​Threat Information" wieder ins Spiel, sagt Scott von EPIC: "CISPA verlangt keine [private Firma], die der Regierung zur Verfügung gestellten Informationen zu entfernen oder anderweitig einzuschränken, solange sie unter den breiten Schirm fällt Informationen zu Cyberbedrohungen. "

Sicherheitsexperten suchen nach Trends, der Verbreitung bestimmter Verhaltensweisen und Verbreitungsmustern für Malware - nicht nach persönlichen Informationen. -David LeDuc, SIIA Obwohl es für das bereitstellende Unternehmen sinnvoll erscheint, PII aus den Daten, die sie teilen, zu streichen, fällt diese Aufgabe unter CISPA an die Regierung. David LeDuc ist Senior Director of Public Policy für die Software & Information Industry Association, eine große Handelsgruppe, die Softwareentwickler und Unternehmen für digitale Inhalte vertritt und CISPA unterstützt. LeDuc verharmlost die Wichtigkeit von PII in der Cybersicherheit und sagt, dass es nicht das ist, was Fachleute daran interessiert, Cyberkriminalität zu bekämpfen. "Sicherheitsexperten suchen nach Trends", sagt er, "die Prävalenz bestimmter Verhaltensweisen und Ausbreitungsmuster von Malware - nicht von persönlichen Informationen."

LeDuc weist auch darauf hin, dass CISPA von einer optionalen Minimierung der Regierung auf eine Option umgestellt wurde es ist obligatorisch. "Die Bundesregierung muss Informationen minimieren, die sie vom privaten Sektor erhält, um Informationen über bestimmte Personen zu erhalten, die nicht auf eine Cyberbedrohung reagieren müssen", sagt er.

Dieser Änderungsantrag geht jedoch nicht auf die Frage ein Daten, die zwischen privaten Unternehmen ausgetauscht werden. Da nur die Regierung die Aufgabe hat, PII unter CISPA zu minimieren, können private Unternehmen relativ PII-reiche Daten untereinander austauschen, ohne sich um Minimierung zu bemühen. In seiner Rede vor der Abstimmung im Repräsentantenhaus zu CISPA hat der Abgeordnete Adam Schiff (D-Kalifornien) seine Ablehnung deutlich gemacht. "Private Entitäten können Informationen miteinander austauschen, ohne jemals die Regierung zu durchlaufen", sagte er. "Wie kann die Regierung unter diesen Umständen das minimieren, was sie nie besitzt? Eine bloße Minimierung der Regierungsseite allein, die all diese Rechnung einschließt, reicht nicht aus. "

Der Kongressabgeordnete Schiff hatte einen Änderungsantrag eingereicht, um diese Lücke zu schließen, aber er beschwert sich, dass die Sponsoren von CISPA ihn nie zur Abstimmung gebracht haben

Was Privatunternehmen wichtig ist: Klagen

Unter all dem Gerede von Teilen und Minimieren geht es CISPA wirklich darum, die Unternehmen, die die Daten bereitstellen, davor zu schützen, dafür verklagt zu werden. Auf die Frage, was die Verbraucher am wichtigsten über CISPA wissen sollten, sagte SIIAs LeDuc, dass Haftungsrisiken die Cybersicherheitsbemühungen vereiteln. "Leider sind Unternehmen oder private Organisationen nach dem geltenden Rechtsrahmen mit rechtlichen oder rechtlichen Maßnahmen konfrontiert, wenn sie Informationen weitergeben wollen, von denen sie glauben, dass sie eine Cyberbedrohung oder -vorfall verhindern oder mindern könnten", sagt er.

Die meisten von uns werden keine Ahnung haben, ob unsere Daten verwendet oder missbraucht werden, es sei denn, dass sie uns wieder beißen.

Die Aussicht auf einen Rechtsstreit ist etwas kurios. Schließlich werden die meisten von uns mit diesen gewaltigen Bemühungen, Daten zu scannen, keine Ahnung haben, ob unsere Daten verwendet oder missbraucht werden, es sei denn, sie würden uns wieder beißen. Sollte dies jedoch geschehen, wäre es schön, einen Rechtsweg zu haben. Auch hier macht die vage Sprache der CISPA die Privatsphäre schwieriger zu schützen. Richardson von der ACLU sagt: "Es ist nicht nur das, was man teilen kann, sondern jede Entscheidung, die man aufgrund der mitgeteilten Informationen trifft, wird auch immunisiert. Sie verwenden tatsächlich den Begriff "getroffene Entscheidungen", der unglaublich breit ist. "

" Gutgläubig "deckt eine Menge gut gemeinten Schaden ab.

Aber SIIAs LeDuc besteht darauf, dass es einen Prozess gibt. "Einzelne Bürger verlieren nicht ihre Fähigkeit, die Gerichte zu verklagen oder zu verklagen", sagt er. "In jedem Fall, in dem festgestellt wurde, dass ein Unternehmen nicht in gutem Glauben handelt, wären sie wahrscheinlich für den Schaden eines Individuums verantwortlich."

Reitman vom EFF sagt, dass das Cover von "gutem Glauben" auch leicht gehen könnte weit. Geschützt vor Haftung könnten Unternehmen mehr Daten frei teilen. Zum Beispiel, sagt Reitman, "könnte Netflix der Regierung eine Liste der Namen, Kreditkartennummern, Heimatadressen und Kontoaktivität für alle, die den Film Hackers während der drei Wochen vor Netflix angesehen haben, geben einen milden DDOS-Angriff erleiden. "CISPA sieht derzeit eine zivile Überwachung der gemeinsamen Nutzung von Daten durch das Department of Homeland Security und andere Entitäten vor, aber wenn die Daten dann an eine militärische Einheit weitergegeben werden, endet die Aufsicht.

" Wir würden niemals wissen, was sie mit diesen Daten gemacht haben ", sagt Reitman. "Wir glauben nicht, dass dies in gutem Glauben wäre, aber es wäre schwer für die Kunden, dies zu entdecken und später zu beweisen."

CISPA kommt vielleicht nicht weit

Dies ist der zweite Versuch von CISPA, die Zustimmung des Senats zu erhalten Ihr Erfolg ist alles andere als sicher - insbesondere angesichts der deutlich geäußerten Absicht des Präsidenten, CISPA in seiner jetzigen Form zu verweigern. Obwohl keine Gesetzgebung perfekt ist, verweisen die Gegner auf die Unklarheit und Lücken der CISPA als Spielstopper. Richardson von ACLU sagt: "Die Leute sprechen davon, dass China einbricht und geistiges Eigentum stiehlt. Wenn sie eine Rechnung darüber geschrieben hätten, hätten wir weniger Beschwerden. CISPA ist breit und fegt eine Menge alltäglicher Aktivitäten nach. "

CISPA zeigt das komplizierte Tauziehen zwischen Online-Privatsphäre und Cybersicherheit.

Senatoren bereiten auch alternative Cybersicherheitsgesetze vor - obwohl das auch letztes Jahr nicht geklappt hat. Senator John D. (Jay) Rockefeller (D-West Virginia) sponsert den Cybersecurity- und American Cyber ​​Competitiveness Act von 2013 (wie er es 2012 auch tat). In einer Pressemitteilung, die nach der Abstimmung im Repräsentantenhaus über die CISPA veröffentlicht wurde, sagte Senator Rockefeller: "Die heutige Aktion im Repräsentantenhaus ist wichtig, auch wenn der Datenschutz der CISPA nicht ausreicht. Wir brauchen Maßnahmen zu all den Elementen, die unsere Cybersicherheit stärken, nicht nur einer, und genau das wird der Senat erreichen. "Anfang dieser Woche erreichte Senatorin Dianne Feinstein (D-Kalifornien), eine Co-Sponsorin des gleichen Gesetzes, eine Erklärung "Wir arbeiten derzeit an einem überparteilichen Informationsaustausch und werden fortfahren, sobald wir zu einer Einigung kommen."

Die Gesetzesvorlage zeigt das komplizierte Tauziehen zwischen Online-Datenschutz und Cybersicherheit. Richardson der ACLU glaubt, dass CISPA den Senat dazu inspirieren wird, eine bessere Lösung zu finden. "Alle anderen in diesem Spiel schauen auf etwas gezielteres, strategisches und Datenschutzgeschütztes." Die unvollkommene Antwort ist irgendwo da draußen, hoffentlich mit so viel Schutz für den kleinen Kerl, wie es für Big Data zu sein scheint.