Windows

هي الخصوصية مقابل الأمن السيبراني مع وصول فاتورة CISPA إلى مجلس الشيوخ

ISOC Q1 Community Forum 2016

ISOC Q1 Community Forum 2016

جدول المحتويات:

Anonim

تحديث: في يوم الخميس ، ذكرت وكالة الأنباء الأمريكية أن CISPA "سيكون من المؤكد تقريبا أن يتم وضعه على الرف" ، مستشهدا بالتعليقات التي أدلى بها ممثل لم يذكر اسمه من لجنة مجلس الشيوخ الأمريكي حول التجارة والعلوم والنقل. ونقلت "يو إس نيوز" أيضاً عن ميشيل ريتشاردسون ، المستشار القانوني لدى اتحاد الحريات المدنية الأمريكي ، الذي قال: "أعتقد أنه ميت الآن. إن برنامج" سيسبا "مثير للجدل للغاية ، وهو شديد التوسّع ، وليس فقط نفس البرنامج الذي يفكر فيه مجلس الشيوخ العام الماضي." ويقدر ريتشاردسون أن الأمر قد يستغرق عدة أشهر حتى يتم إصدار تشريع جديد.

يعد الأمن السيبراني والخصوصية على الإنترنت من الاهتمامات الحرجة التي يبدو أنها غير متساوية أبداً. من المؤكد أنك تريد قراصنة خبيثين ، ومرسلي الرسائل غير المرغوب فيها ، وغير ذلك من أنواع الإنترنت المنخفضة التي تم تقديمها للعدالة ، ولكنك أيضًا تريد حماية بياناتك على الإنترنت.

يتطلب جزء كبير من مكافحة الجريمة السيبرانية تجميع بيانات كومة بيانات مجمعة عبر الإنترنت مسحها لإبرة المراوغة من النشاط المشبوه. يمكن اجتاحت البيانات الخاصة بك على الانترنت في واحدة من هذه أكوام ومسحها ضوئيا. ما يحدث لها على طول الطريق هو تخمين أي شخص.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows] الخطوة الأولى في فهم كيفية عمل الأمن السيبراني هو القبول بأن بياناتك على الإنترنت سيتم فحصها ، ويجري بالفعل ممسوحة ضوئيا.

لهذا السبب سترغب في مراقبة قانون سايبر للاستخبارات والحماية عبر الإنترنت (CISPA) ، الذي مرر مجلس النواب الأمريكي الأسبوع الماضي ، وهو الآن قيد النظر من قبل مجلس الشيوخ ، حيث يوجد حاليًا لجنة. تهدف CISPA إلى تخفيف القيود التي تحكم مشاركة البيانات بين محققي الأمن السيبراني. قد يبدو ذلك معقولًا بما فيه الكفاية ، لكن الجدل ينشأ حول كيفية معالجة البيانات على وجه التحديد ، وكيف يتم تقاسمها ، وكيف يتم تقليل معلومات التعريف الشخصية (PII).

بالإضافة إلى ذلك ، يخلق مشروع القانون مستوى عال من الحصانة من الدعاوى القضائية بالنسبة للحكومة والشركات الخاصة التي تشارك البيانات. هذا ليس مرتاحًا تمامًا عند مشاركة بياناتك.

متى ، وليس إذا ، يتم فحص بياناتك ومشاركتها

الخطوة الأولى في فهم كيفية عمل الأمان السيبراني هو القبول بأن بياناتك على الإنترنت يجري فحصها بالفعل. الحكومة ، وأجهزة إنفاذ القانون ، والشركات الخاصة كلها تبحث عن نشاط الإنترنت المشبوه. يقع مرسلو الرسائل غير المرغوب فيها ، وشبكات الروبوت ، والخارقة الخبيثة في مواقع مثل Twitter في فئة واحدة واسعة النطاق من الجرائم الإلكترونية. ومما يثير مزيدًا من القلق محاولات مهاجمة "البنية الأساسية الحيوية" (مثل مرافق الطاقة والمياه وشبكات الاتصالات) أو المدنيين.

سيسمح CISPA للشركات الخاصة بمشاركة البيانات التي تعتبر "معلومات تهديد سيبراني".

سمحت CISPA للشركات الخاصة بمشاركة البيانات مع مسؤولي إنفاذ القانون والوكالات الحكومية إذا كانت البيانات مؤهلة على أنها ما يسميه مشروع "معلومات التهديد الإلكتروني" التي يمكن أن تساعد في حل الجريمة. غموض هذا المصطلح هو جزء كبير من مشكلة الخصوصية ، كما يقول جيرامي سكوت ، زميل الأمن القومي في مركز معلومات الخصوصية الإلكترونية. يقول سكوت: "إنه يستخدم مصطلحات مثل" الضعف أمام الشبكة "و" التهديد لسلامة الشبكة "في تعريفها الذي يترك للقطاع الخاص ليترجمه.

التعاريف التي تغطي البيانات غامضة بما يكفي لدعوة المشاركة

غموض CISPA يمنح الشركات الخاصة الكثير من المساحة المرنة للإفشاء عن المعلومات. "يقول موقع التواصل الاجتماعي يعاني من هجوم الحرمان من الخدمة ،" يقول سكوت. "يمكن للموقع تقديم تفاصيل تشخيصية أكثر ملاءمةً إلى الحكومة ، ولكنه قد يوفر أيضًا معلومات شخصية حول جميع الملفات الشخصية المتأثرة ، بما في ذلك ، على سبيل المثال ، الأشخاص الذين تتصل بهم ، ومعلومات الملف الشخصي الحيوية - طالما كان اعتبرت الشبكة الاجتماعية جزء المعلومات "معلومات تهديد الإنترنت". "

ووفقًا للمستشارة التشريعية ميشيل ريتشاردسون من الاتحاد الأمريكي للحريات المدنية ، فإن كل رسائل غير مرغوب فيها غبية تتلقاها من نيجيريا قد تجعل لعبة بياناتك عادلة لإجراء مزيد من التحقيقات. يقول ريتشاردسون: "هذه أحداث يومية هي أحداث الأمن السيبراني في إطار مشروع القانون". يقول ريني ريتمان ، مدير النشاط في مؤسسة Electronic Frontier Foundation ، إن الخدمة يمكن أن تشارك أي بيانات تعتبرها "معلومات تهديدات الإنترنت" ويمكن أن تفعل ذلك "بدون إجراء قانوني ، طالما أنها كانت" بحسن نية "و" "

> مشاركة البيانات ستكون أسهل أو آلية

يضيف ريتشاردسون من اتحاد الحريات المدنية الأمريكي أنه في ظل CISPA ، ستكون مشاركة البيانات سلسة بالفعل. بدلاً من المرور بعملية تتطلب فيها الحكومة معلومات محددة ، "يتحدثون عن نوع من العمليات التي ستقوم تلقائياً بتوجيه الأمور إلى الحكومة" ، يقول ريتشاردسون.

إذا كانت البيانات سيتم توجيهها تلقائيًا ، متى وكيف يتم تجريد PII من البيانات تصبح قضية أكبر. لسوء الحظ ، لا أحد يتحدث عن جعل هوية المستخدم مجهولة تمامًا. لا ، إن الأشخاص الذين يقفون وراء CISPA راضون عن مجرد "التقليل إلى الحد الأدنى" - بذل جهد معقول لإزالة PII. هنا حيث يظهر تعريف "معلومات تهديد الإنترنت" مرة أخرى ، يقول سكوت EPIC: "CISPA لا يتطلب [شركة خاصة] لإزالة أو تضييق المعلومات المقدمة للحكومة ما دامت تحت مظلة واسعة من المعلومات المتعلقة بتهديدات الإنترنت. ”

يبحث خبراء الأمن عن الاتجاهات ، وانتشار سلوكيات معينة ، وأنماط الانتشار للبرامج الضارة ، وليس المعلومات الشخصية. -David LeDuc، SIIA

رغم أنه قد يبدو من المنطقي أن تقوم الشركة بتجريد شركة PII من البيانات التي تشترك فيها ، في ظل CISPA فإن المهمة تقع على عاتق الحكومة. ديفيد LeDuc هو مدير كبير للسياسة العامة لرابطة صناعة البرمجيات والمعلومات ، وهي مجموعة تجارية رئيسية تمثل مطوري البرمجيات ومؤسسات المحتوى الرقمي ، والتي تدعم CISPA. يقلل LeDuc من أهمية معلومات تحديد الهوية الشخصية في مجال الأمن السيبراني ، قائلاً إن الأمر لا يتعلق بمصالح المتخصصين في مكافحة الجريمة السيبرانية. "خبراء الأمن يبحثون عن الاتجاهات ،" يقول: "انتشار سلوكيات معينة ، وأنماط انتشار البرمجيات الخبيثة - ليس على معلومات شخصية."

كما يشير LeDuc إلى أن CISPA عُدِّلت من جعل تقليل الحكومة إلى الحد الأدنى اختياريًا انها إلزامية. "يجب على الحكومة الفيدرالية أن تقلل من المعلومات التي تتلقاها من القطاع الخاص للحصول على معلومات حول أشخاص محددين ليس من الضروري الاستجابة لتهديد سيبراني" ، كما يقول.

ومع ذلك ، فإن هذا التعديل لا يعالج مسألة ما يحدث ل البيانات المشتركة بين الشركات الخاصة. نظرًا لأن الحكومة هي الجهة الوحيدة التي تقوم بوظيفة تقليل معلومات تحديد الهوية الشخصية وفقًا لـ CISPA ، قد تتشارك الشركات الخاصة في البيانات الغنية نسبياً بين شركات PII دون بذل أي جهد نحو التقليل إلى الحد الأدنى. في حديثه قبل تصويت مجلس النواب على CISPA ، أوضح ممثل آدم شيف (D-California) عدم موافقته. "يمكن للكيانات الخاصة تبادل المعلومات مع بعضها البعض دون المرور من خلال الحكومة" ، قال. "في هذه الظروف ، كيف يمكن للحكومة تقليل ما لم تكن تمتلكه؟ لذا ، فإن التقليل من جانب الحكومة وحده ، وهو ما يتضمنه مشروع القانون هذا ، لا يكفي.

قدم عضو الكونغرس شيف تعديلاً لمعالجة هذه الثغرة ، لكنه يشتكي من أن مقدمي مشروع CISPA لم يأتوا أبدًا أمام مجلس النواب للتصويت.

ما تهتم به الشركات الخاصة: دعاوى قضائية

تحت كل هذا الحديث عن المشاركة والتقليل إلى أدنى حد ، ما يبدو بالفعل أن CISPA عنه هو حماية الشركات التي تقدم البيانات من مقاضاتها للقيام بذلك. عندما سئل عن أهم شيء يعرفه المستهلكون عن CISPA ، قال LeDuc من SIIA أن مخاطر المسئولية تمنع جهود الأمن السيبراني. "للأسف ، في ظل الإطار القانوني الحالي ، تواجه الشركات ، أو أي كيانات خاصة ، خطر اتخاذ إجراءات تنظيمية أو قانونية لتبادل المعلومات التي تعتقد أنها يمكن أن تكون ذات قيمة لمنع أو تخفيف تهديد الأمن السيبراني أو الحادث" ، كما يقول.لن يكون لدى معظمنا أي فكرة عما إذا كانت بياناتنا قد تم استخدامها أو إساءة استخدامها ، ما لم ترجع إلى عضنا.

احتمال التقاضي شاذ بعض الشيء. بعد كل شيء ، مع هذه الجهود الضخمة للبحث عن البيانات ، لن يكون لدى معظمنا أدنى فكرة عما إذا كانت بياناتنا قد تم استخدامها أو إساءة استخدامها ، ما لم ترجع إلى عضتنا. ولكن إذا كان ذلك سيحدث ، سيكون من اللطيف أن تكون هناك عملية لجوء قانوني. هنا مرة أخرى ، تجعل اللغة المبهمة لـ CISPA الخصوصية أكثر حماية. يقول ريتشاردسون من اتحاد الحريات المدنية الأمريكي "ليس فقط ما يمكنك مشاركته ، ولكن يتم أيضًا تحصين أي قرارات تتخذها استنادًا إلى المعلومات المشتركة. في الواقع ، يستخدمون هذا المصطلح ، "القرارات التي يتم اتخاذها" ، والتي هي واسعة بشكل لا يصدق. "

" حسن النية "يغطي الكثير من الأضرار ذات النوايا الحسنة

ولكن يصر LeDuc SIIA أن هناك عملية. ويقول: "المواطنون الأفراد لا يفقدون قدرتهم على مقاضاة المحاكم أو اللجوء إليها من أجل التعويض". "أي حالة تبين أن الشركة لا تتصرف بحسن نية ، فمن المحتمل أن تكون مسؤولة عن الضرر الذي يلحق بفرد ما."

يقول ريتمان من EFF أن غطاء "حسن النية" يمكن أن يسير بسهولة أيضًا بعيدا. محميًا من المسؤولية ، يمكن للشركات مشاركة المزيد من البيانات بحرية أكبر. على سبيل المثال ، يقول Reitman ، "يمكن لـ Netflix منح الحكومة قائمة بالأسماء ، وأرقام بطاقات الائتمان ، وعناوين المنازل ، ونشاط الحساب لكل من شاهد الفيلم

Hackers

خلال الأسابيع الثلاثة السابقة ل Netflix وتؤمن CISPA حاليًا الإشراف المدني على مشاركة البيانات من خلال وزارة الأمن الداخلي والكيانات الأخرى ، ولكن إذا تم تمرير البيانات إلى كيان عسكري ، ينتهي الإشراف. "لن نتمكن أبدًا من أعرف ما فعلوه بهذه البيانات ، "يقول ريتمان. "لا نعتقد أن ذلك سيكون بحسن نية ، ولكن سيكون من الصعب على العملاء اكتشافه وإثباته لاحقًا." CISPA قد لا يصل إلى حد

هذه هي المحاولة الثانية لـ CISPA للفوز بموافقة مجلس الشيوخ ، و ونجاحها بعيد كل البعد عن التأكيد - خاصة بالنظر إلى نية الرئيس المعلنة بوضوح باستخدام حق النقض (CISPA) في صيغته الحالية. على الرغم من عدم وجود أي تشريع مثالي ، إلا أن المعارضين يشيرون إلى غموض وثغرات CISPA باعتبارها سدادات ألعاب. يقول ريتشاردسون من اتحاد ACLU: "يتحدث الناس عن الصين في اختراق الملكية الفكرية وسرقتها. إذا كانوا قد كتبوا مشروع قانون حول ذلك ، فسنحصل على عدد أقل من الشكاوى. يوسع نطاق CISPA الكثير من النشاط اليومي. "

CISPA يبين صراع الحرب المعقدة بين الخصوصية على الإنترنت وجهود الأمن السيبراني.

ويقوم أعضاء مجلس الشيوخ بإعداد تشريع بديل للأمن السيبراني - على الرغم من أن ذلك لم ينجح في العام الماضي ، إما. يرعى السناتور جون دي (جاي) روكفلر (دي-ويست فيرجينيا) قانون الأمن السيبراني والتنافسية الأمريكية سايبر لعام 2013 (كما فعل جهدًا مماثلًا في عام 2012 تعطل). في بيان صحفي نشر بعد تصويت مجلس النواب على CISPA ، قال السيناتور روكفلر ، "إن عمل اليوم في مجلس النواب مهم ، حتى لو كانت حماية الخصوصية CISPA ليست كافية. نحن بحاجة إلى اتخاذ إجراء بشأن جميع العناصر التي من شأنها تعزيز أمننا السيبراني ، وليس مجرد واحد ، وهذا ما سيحققه مجلس الشيوخ. ”وفي وقت سابق من هذا الأسبوع ، قالت السيناتور ديان فاينشتاين (ديمقراطية من كاليفورنيا) ، الراعية في نفس المشروع ، "نحن نقوم حاليا بصياغة مشروع قانون تقاسم المعلومات من الحزبين وسيبدأ بمجرد التوصل إلى اتفاق."

ويظهر مشروع القانون كما هو عليه ، شد الحبل المعقد بين الخصوصية على الإنترنت وجهود الأمن السيبراني. يعتقد ريتشاردسون من اتحاد الحريات المدنية الأمريكي أن CISPA ستلهم مجلس الشيوخ لإيجاد حل أفضل. "كل شخص آخر في هذه اللعبة ينظر إلى شيء أكثر استهدافًا واستراتيجية وحماية للخصوصية". الجواب غير الكامل موجود في مكان ما ، ونأمل أن يكون هناك قدر كبير من الحماية للرجل الصغير حيث يبدو أن هناك بيانات كبيرة.