Es privacidad versus seguridad cibernética cuando llega la factura de CISPA al Senado

Actualización: El jueves, US News informó que CISPA "será archivado", citando comentarios de un representante no identificado del Comité Senatorial de Comercio, Ciencia y Transporte de Estados Unidos. US News también citó a Michelle Richardson, consejera legislativa de la ACLU, quien dijo: "Creo que está muerto por ahora. CISPA es demasiado controvertido, demasiado expansivo, simplemente no es el mismo tipo de programa contemplado por el Senado el año pasado". Richardson estima que podrían pasar varios meses antes de que la nueva legislación sea sometida a votación.

La ciberseguridad y la privacidad en línea son dos intereses críticos que parecen destinados a no llevarse bien. Claro, quiere que hackers malintencionados, spammers y otros delincuentes de Internet comparezcan ante la justicia, pero también quiere proteger sus datos en línea.

Sin embargo, una gran parte de la lucha contra el delito cibernético exige reunir un montón de datos agregados en línea y buscándolo por una aguja esquiva de actividad sospechosa. Sus datos en línea podrían ser barridos en una de estas pilas y escaneados. No se sabe qué sucederá en el camino.

[Más información: cómo eliminar el malware de su PC con Windows] El primer paso para entender cómo funciona la ciberseguridad es aceptar que sus datos en línea serán escaneados, y ya están siendo procesados. escaneado.

Es por eso que querrá vigilar la Ley de Protección y Uso compartido de Ciberinteligencia (CISPA), que aprobó la Cámara de Representantes de Estados Unidos la semana pasada y ahora está siendo considerada por el Senado, donde actualmente está en comité. CISPA tiene como objetivo relajar las restricciones que actualmente rigen el intercambio de datos entre los investigadores de ciberseguridad. Eso puede parecer razonable, pero la controversia surge sobre cómo se manejan los datos, específicamente, cómo se comparte y cómo se minimiza la información de identificación personal (PII).

Además, la ley crea un alto nivel de inmunidad frente a demandas judiciales. para el gobierno y las empresas privadas que comparten datos. Esto no es exactamente reconfortante cuando comparten sus datos.

Cuándo, no si, se escanean y comparten sus datos

El primer paso para entender cómo funciona la ciberseguridad es aceptar que sus datos en línea ya se están escaneando. El gobierno, la aplicación de la ley y las empresas privadas están atentos a la actividad de Internet de aspecto sospechoso. Los spammers, botnets y hacks maliciosos en sitios como Twitter caen dentro de una amplia categoría de cibercrimen. De mayor preocupación son los intentos de atacar "infraestructura crítica" (como servicios de energía y agua y redes de comunicación) o civiles.

CISPA permitiría que las empresas privadas compartan datos considerados como "información de amenazas cibernéticas".

CISPA permitiría que las empresas privadas compartan datos con los funcionarios encargados de hacer cumplir la ley y las agencias gubernamentales si los datos calificaran como lo que el proyecto de ley denomina "información de amenazas cibernéticas" que podría ayudar a resolver un delito. La vaguedad de ese término es una gran parte del problema de privacidad, dice Jeramie Scott, miembro de seguridad nacional del Electronic Privacy Information Center. "Utiliza términos como 'vulnerabilidad a una red' y 'amenaza a la integridad de una red' en su definición, que el sector privado debe interpretar", dice Scott.

Las definiciones que cubren los datos son lo suficientemente vagas como para invitar a un exceso de participación

La vaguedad de CISPA les da a las compañías privadas un gran margen de maniobra para compartir información. "Digamos que un sitio de redes sociales sufre un ataque de denegación de servicio", dice Scott. "El sitio podría ofrecer los detalles de diagnóstico más relevantes al gobierno, pero también podría proporcionar información personal sobre todos los perfiles afectados, incluidos, por ejemplo, con quién está conectado y detalles biográficos del perfil, siempre que el las redes sociales consideran que la información forma parte de la 'información de amenazas cibernéticas' ".

Según la asesora legislativa Michelle Richardson de la Unión de Libertades Civiles de Estados Unidos, cada estúpido correo no deseado que reciba de Nigeria podría hacer que su información sea un juego justo para una mayor investigación. "Estas son situaciones cotidianas que son eventos de ciberseguridad según la ley", dice Richardson. Rainey Reitman, directora de activismo en la Electronic Frontier Foundation, dice que un servicio podría compartir cualquier información que considerara "información de amenaza cibernética" y podría hacerlo "sin un proceso legal, siempre que fuera de 'buena fe' y para un ' propósito de ciberseguridad. '"

Compartir datos será más fácil o automático

Richardson de la ACLU agrega que bajo CISPA, el intercambio de datos será fluido, realmente fluido. En lugar de atravesar un proceso en el que el gobierno solicita información específicamente, "están hablando de algún tipo de proceso que enviará automáticamente información al gobierno", dice Richardson.

Si los datos se van a enrutar automáticamente, cuándo y cómo se elimina la PII de los datos se convierte en un problema mayor. Lamentablemente, nadie está hablando de hacer que las identidades de los usuarios sean completamente anónimas. No, las personas detrás de CISPA están satisfechas con la mera "minimización", lo que hace un esfuerzo razonable para eliminar la PII. Aquí es donde entra en juego nuevamente la definición de "información sobre amenazas cibernéticas", dice Scott de EPIC: "CISPA no exige [a una empresa privada] que elimine o restrinja de otro modo la información proporcionada al gobierno, siempre que caiga bajo la sombrilla de la información de amenazas cibernéticas. "

Los expertos en seguridad buscan las tendencias, la prevalencia de ciertos comportamientos y los patrones de propagación del malware, no de la información personal. -David LeDuc, SIIA Aunque parece lógico que la empresa proveedora elimine la PII de los datos que comparten, en CISPA esa tarea recae en el gobierno. David LeDuc es director sénior de políticas públicas para la Asociación de la Industria de Software e Información, un importante grupo de comercio que representa a desarrolladores de software y empresas de contenido digital, que es compatible con CISPA. LeDuc minimiza la importancia de la PII en seguridad cibernética, diciendo que no es lo que interesa a los profesionales dedicados a combatir el cibercrimen. "Los expertos en seguridad buscan tendencias", dice, "la prevalencia de ciertos comportamientos y patrones de propagación de malware, no de información personal".

LeDuc también señala que CISPA fue modificada para que la minimización gubernamental no sea opcional. es obligatorio "El gobierno federal debe minimizar la información que recibe del sector privado para obtener información sobre personas específicas que no son necesarias para responder a una amenaza cibernética", dice.

Sin embargo, esta enmienda no aborda la cuestión de qué sucede con datos compartidos entre compañías privadas. Debido a que solo el gobierno tiene la tarea de minimizar la PII bajo CISPA, las compañías privadas pueden compartir datos relativamente ricos en PII entre ellos sin hacer ningún esfuerzo por minimizarlos. Al hablar antes de la votación de la Cámara sobre CISPA, el Representante Adam Schiff (D-California) dejó en claro su desaprobación. "Las entidades privadas pueden compartir información entre sí sin pasar por el gobierno", dijo. "En esas circunstancias, ¿cómo puede el gobierno minimizar lo que nunca posee? Así que la minimización del lado del gobierno, que incluye todo este proyecto de ley, no es suficiente. "

El congresista Schiff introdujo una enmienda para abordar esta laguna, pero se queja de que los patrocinadores de CISPA nunca lo presentaron ante la Cámara para su votación.

A qué se refieren las compañías privadas: demandas judiciales

Debajo de toda esta charla de compartir y minimizar, de lo que realmente parece tratarse CISPA es de proteger a las compañías que brindan los datos para que no las demanden por hacerlo. Cuando se le preguntó qué era lo más importante para los consumidores sobre CISPA, LeDuc de SIIA dijo que los riesgos de responsabilidad estaban frustrando los esfuerzos de ciberseguridad. "Desafortunadamente, bajo el marco legal actual, las empresas o cualquier entidad privada se enfrentan al riesgo de acciones regulatorias o legales para compartir información que creen que podría ser valiosa para prevenir o mitigar una amenaza o incidente de ciberseguridad", dice.

La mayoría de nosotros no sabrá si nuestros datos están siendo utilizados o mal utilizados, a menos que vuelvan a mordernos.

La perspectiva de un litigio es algo pintoresca. Después de todo, con estos enormes esfuerzos de escaneo de datos, la mayoría de nosotros no sabrá si nuestros datos están siendo utilizados o mal utilizados, a menos que vuelvan a mordernos. Si eso sucediera, sin embargo, sería bueno tener un proceso para un recurso legal. Aquí nuevamente, el lenguaje vago de CISPA hace que la privacidad sea más difícil de proteger. Richardson de la ACLU dice: "No es solo lo que puede compartir, pero cualquier decisión que tome en base a la información compartida también está inmunizada. En realidad usan ese término, 'decisiones tomadas', que es increíblemente amplio. "

'Buena fe' cubre un montón de daño bien intencionado

Pero el LeDuc de SIIA insiste en que hay un proceso. "Los ciudadanos individuales no pierden su capacidad de demandar o recurrir a los tribunales para obtener reparación", dice. "En cualquier caso en el que se descubra que una empresa no actúa de 'buena fe', es probable que sea responsable de daños a una persona".

Reitman de la EFF dice que la cobertura de "buena fe" también podría pasar fácilmente. lejos. Protegidas de responsabilidad, las compañías podrían compartir más datos más libremente. Por ejemplo, dice Reitman, "Netflix podría entregarle al gobierno una lista de los nombres, números de tarjetas de crédito, domicilios particulares y actividad de la cuenta para todos los que vieron la película Hackers durante las tres semanas previas a Netflix. sufriendo un leve ataque DDOS. "CISPA actualmente provee supervisión civil de intercambio de datos a través del Departamento de Seguridad Nacional y otras entidades, pero si los datos luego pasan a una entidad militar, la supervisión finaliza.

" Nunca lo haríamos saber lo que hicieron con esa información ", dice Reitman. "No creemos que sea de buena fe, pero sería difícil para los clientes descubrir y luego probar".

CISPA puede no llegar lejos

Este es el segundo intento de CISPA para ganar la aprobación del Senado, y su éxito está lejos de ser cierto, especialmente teniendo en cuenta la clara intención del Presidente de vetar CISPA en su forma actual. Aunque ninguna legislación es perfecta, los oponentes señalan la vaguedad y las lagunas de CISPA como obstáculos. Richardson de la ACLU dice: "La gente habla de que China está entrando y robando propiedad intelectual. Si hubieran escrito una factura al respecto, tendríamos menos quejas. CISPA es amplio y realiza una gran cantidad de actividades diarias. "

CISPA muestra la complicada lucha entre la privacidad en línea y los esfuerzos de seguridad cibernética.

Los senadores también están preparando legislación alternativa sobre ciberseguridad, aunque eso no funcionó el año pasado.. El Senador John D. (Jay) Rockefeller (D-West Virginia) está patrocinando la Ley de Ciberseguridad y Ciber Competitividad de 2013 (como lo hizo un esfuerzo similar de 2012 que se estancó). En un comunicado de prensa publicado después de la votación de la Cámara sobre CISPA, el Senador Rockefeller dijo: "La acción de hoy en la Cámara es importante, incluso si las protecciones de privacidad de CISPA son insuficientes. Necesitamos medidas sobre todos los elementos que fortalecerán nuestra ciberseguridad, no solo uno, y eso es lo que logrará el Senado ". Llegó a principios de esta semana, dijo la senadora Dianne Feinstein (D-California), copatrocinadora del mismo proyecto de ley., "Actualmente estamos redactando una ley bipartidista de intercambio de información y procederemos tan pronto como lleguemos a un acuerdo".

El proyecto de ley en sí muestra la complicada lucha entre la privacidad en línea y los esfuerzos de ciberseguridad. Richardson de la ACLU cree que CISPA inspirará al Senado a encontrar una mejor solución. "Todos los demás en este juego están buscando algo más específico, estratégico y protegido de la privacidad". La respuesta imperfecta está en algún lado, con suerte con tanta protección para el pequeño que parece haber para los grandes datos.