Opinión: CISPA no es la legislación malvada que infringe la privacidad que usted cree que es

Una propuesta de ley que fomente una seguridad cibernética más sólida al permitir que las empresas del sector público compartan información se enfrenta a la oposición de la privacidad y grupos de libertades civiles. Sin embargo, la controversia es errónea y la legislación es un paso en la dirección correcta.

CISPA, o la Ley de Protección y Uso compartido de la Ciberinteligencia, fue presentada el año pasado por los miembros del Comité Permanente Selecto de Inteligencia de la Cámara: Mike Rogers (R-MI) y Dutch Ruppersberger (D-MD). El objetivo de la legislación es establecer un marco para que las empresas gubernamentales y privadas compartan información confidencial en un esfuerzo por identificar y bloquear los ciberataques de manera más efectiva.

CISPA inicialmente logró pasar por el Senado, impulsado por el apoyo de un gran número de compañías de tecnología como AT & T, Comcast, Oracle, Symantec y Microsoft. Más tarde murió en la vid, sin embargo, por las preocupaciones de Big Brother espiando a ciudadanos estadounidenses. Pero ahora regresó: el mes pasado, sus patrocinadores del Congreso resucitaron el proyecto de ley en respuesta a ataques de alto perfil contra blancos estadounidenses durante el año pasado.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

CISPA tiene la intención de fortalecer la seguridad cibernética, no de espiar a los ciudadanos estadounidenses.

La reacción de CISPA

Sí, la ley está de vuelta, pero CISPA no se ha vuelto más popular desde el año pasado. La EFF (Electronic Frontier Foundation), la ACLU (American Civil Liberties Union) y otros grupos de defensa de la privacidad se están alineando para oponerse a la legislación una vez más. Además, Facebook, un partidario original de la legislación, acaba de rescindir su apoyo esta semana.

La ACLU compartió conmigo una carta que se envió a los congresistas Rogers y Ruppersberger en nombre de una coalición de organizaciones interesadas. La carta expresaba serias reservas con CISPA y anunciaba que no se había establecido un control civil sobre el programa de intercambio de información; no exigir a las organizaciones privadas que eliminen la información de identificación personal de los datos compartidos con el gobierno; y la falta de seguridad en la protección de la información compartida.

Kurt Opsahl, abogado sénior de EFF, me explicó: "El informe de Mandiant muestra cuánta información útil podría compartirse sin una nueva factura … Los problemas [con este proyecto de ley] son ​​fundamentales, y probablemente demasiado profundos para solucionarlos con un compromiso. "

Pero, ¿está justificada la reacción negativa?

El 16 de abril de 2012, una enmienda a la ley tenía como objetivo abordar las cuestiones de privacidad. Hubo preguntas sobre la terminología, por lo que la enmienda aclara qué se entiende por "información de amenaza cibernética" para garantizar una interpretación más estricta que no incluye "propiedad intelectual". Algunos expresaron su preocupación de que el proyecto de ley autorizaría a ISP o proveedores de servicios a bloquear cuentas o eliminar contenido. En respuesta, la enmienda especifica que la legislación se limita a identificar, obtener y compartir información sobre amenazas cibernéticas, y declara expresamente que el proyecto de ley no proporciona ninguna autoridad para bloquear cuentas o eliminar información.

La enmienda aborda las principales inquietudes sobre la privacidad. Impide que cualquier información obtenida se use para cualquier otro propósito que no sea la reunión de inteligencia para la que fue diseñado, y permite que se demande al gobierno de EE. UU. si la información obtenida se utiliza de manera que viola las limitaciones impuestas El proyecto de ley también le da al Fiscal General de los Estados Unidos la supervisión para monitorear la actividad bajo CISPA y garantizar privacidad Se mantienen las salvaguardas.

Microsoft me compartió su declaración oficial sobre CISPA, que simultáneamente enfatiza las preocupaciones de privacidad, pero también reconoce que se está progresando e implica el apoyo de Microsoft a los objetivos subyacentes de CISPA:

"Microsoft cree que cualquier legislación propuesta debería facilitar el intercambio voluntario de información sobre amenazas cibernéticas de una manera que nos permita cumplir con las promesas de privacidad y seguridad que le hacemos a nuestros clientes. La legislación presentada a mediados de febrero refleja cambios importantes resultantes de un diálogo activo y constructivo sobre una versión anterior del proyecto de ley, y ese diálogo debe continuar. Esperamos continuar trabajando con legisladores y otros para mejorar la ciberseguridad mientras protegemos la privacidad del consumidor. "- Scott Charney, Vicepresidente Corporativo de Computación Confiable

¿Por qué CISPA?

A fines de febrero en la conferencia de seguridad de RSA, se sentó con los representantes patrocinadores, Rogers y Ruppersberger. Rogers explicó la motivación detrás de apoyar la factura una vez más. "La cantidad de riqueza que se ha transferido desde Estados Unidos a lugares como China es impresionante y peligrosa", dijo.

Rogers y Ruppersberger creen que si las agencias de inteligencia de los Estados Unidos pudieran compartir información clasificada con el sector privado, entonces la La industria de la seguridad y las corporaciones privadas estarán mejor armadas para defenderse. Del mismo modo, la comunidad de inteligencia también podría beneficiarse de que las compañías privadas compartan lo que saben sobre los ataques con el gobierno.

El intercambio bidireccional de información es vital para ver el gran imagen de amenazas de seguridad y detección y prevención de ataques. De hecho, el intercambio de información después de los ataques de la Operación Aurora contra Google y otras organizaciones proporciona un ejemplo sólido de cuán efectivo puede ser el intercambio. Cada compañía puede saber que algo sospechoso está sucediendo, pero puede solo vea una pieza del rompecabezas. Al comparar notas con otras compañías y agencias de inteligencia, las piezas pueden ser loc juntos para obtener una visión más completa del ataque.

El objetivo, según Rogers, es abordar el intercambio de información de una manera que tenga un amplio respaldo bipartidista y la aceptación de los interesados ​​clave tanto del gobierno como del gobierno. sector privado. Los partidarios del Congreso creen que CISPA es la mejor manera de dar al gobierno y al sector privado las herramientas necesarias para detectar ataques sofisticados y protegerse de las amenazas avanzadas y persistentes.

¿Por qué ahora?

Rogers y Ruppersberger presentaron nuevamente el siguiente CISPA El discurso del Estado de la Unión del presidente Obama, en el que hizo un llamado para proteger a la nación de los ataques cibernéticos. ¿Ha cambiado algo en el proyecto de ley que lo diferencia de la versión que se derribó? No, nada ha cambiado.

Ruppersberger explicó que él y Rogers son miembros de la "Banda de los Ocho", un grupo de funcionarios electos que tienen acceso a información clave de inteligencia y que están informados sobre cuestiones de seguridad nacional que también se consideran sensible para ser compartido más ampliamente con el resto del Congreso. Dijo que a menudo se le pregunta qué lo mantiene despierto por la noche, y una de sus respuestas principales es "ciberataques".

Tenemos que tomar medidas para evitar que se roben datos confidenciales y de propiedad exclusiva.

¿Por qué enviar el la misma legislación otra vez? Ruppersberger dijo que el panorama de las amenazas ha cambiado desde el año pasado, y ahora hay más apoyo para lo que están tratando de lograr con CISPA. "Estamos siendo expuestos, y estos ataques son cada vez más agresivos: el Washington Post, el New York Times, el Wall Street Journal, me refiero al Departamento del Tesoro, y continúa … Aramco, 30,000 computadoras noqueadas. Se volvieron mucho más agresivos ".

Avanzando

Una crítica al proyecto de ley se refiere a cuánta información compartirían las empresas privadas con el gobierno. Los oponentes de CISPA quieren que se eliminen o minimicen varios tipos de datos antes de enviarlos al gobierno, pero las empresas privadas no quieren la carga adicional de tratar de examinar los datos antes de compartirlos.

Ruppersberger explicó que la NSA ya tiene el herramientas y tecnología para minimizar los datos una vez que el gobierno los reciba, y que este es un problema que cree que se puede solucionar. Algunas de las otras preocupaciones relacionadas con CISPA son una cuestión de jurisdicción. Rogers y Ruppersberger están viendo el mundo a través del lente del Comité Permanente de Inteligencia de la Cámara de Representantes, y elaboraron una legislación para abordar los problemas que ven dentro del alcance de ese comité.

Entonces, ¿dónde estamos ahora? La legislación ahora debe ir a través de margen y pasar por el comité antes de que incluso tenga la posibilidad de ser votado. Por lo tanto, todavía hay tiempo para resolver los problemas y negociar compromisos para abordar cualquier inquietud restante.

CISPA exige un difícil acto de equilibrio, pero es crucial para los intereses de seguridad económica y nacional de los Estados Unidos que abordemos la amenaza de los ciberataques. Ni el gobierno ni la industria privada pueden abordar el problema solos, entonces la legislación como CISPA es necesaria para facilitar el tipo de intercambio y cooperación que necesitamos.

Las opiniones expresadas en este artículo son las del columnista, y no necesariamente las de PCWorld..