Le projet de loi sur la CISPA arrive au Sénat

Mise à jour: US News a rapporté jeudi que la CISPA "sera certainement mise à l'écart", citant les commentaires d'un représentant anonyme du Comité sénatorial américain du commerce, des sciences et des transports. US News a également cité Michelle Richardson, conseillère législative à l'ACLU, qui a déclaré: «Je pense que c'est mort pour l'instant, la CISPA est trop controversée, c'est trop expansif, ce n'est pas le même genre de programme envisagé par le Sénat l'année dernière. Richardson estime qu'il pourrait falloir plusieurs mois avant que la nouvelle législation soit soumise au vote.

La cybersécurité et la vie privée en ligne sont deux intérêts cruciaux qui semblent destinés à ne jamais s'entendre. Bien sûr, vous voulez que les pirates informatiques malveillants, les spammeurs et les autres internautes soient traduits en justice, mais vous voulez aussi protéger vos données en ligne.

Une grande partie de la lutte contre la cybercriminalité exige de rassembler le scanner pour une aiguille insaisissable d'activité suspecte. Vos données en ligne pourraient être balayées dans l'une de ces piles et scannées.

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows] La première étape pour comprendre comment fonctionne la cybersécurité est d'accepter que vos données en ligne seront analysées - et sont déjà en cours

C'est pourquoi vous voudrez garder un œil sur la Loi sur le partage et la protection du cyber-renseignement (CISPA), qui a été adoptée par la Chambre des représentants américaine la semaine dernière et qui est actuellement examinée par le Sénat.. La CISPA vise à assouplir les restrictions qui régissent actuellement le partage de données entre les enquêteurs de la cybersécurité. Cela peut sembler assez raisonnable, mais la controverse surgit sur la façon dont les données sont traitées - en particulier, comment ils sont partagés, et comment les informations personnelles identifiables (PII) sont minimisées.

En outre, le projet de loi crée un haut niveau d'immunité pour le gouvernement et les entreprises privées qui partagent des données. Ce n'est pas vraiment réconfortant quand ils partagent vos données.

Quand, pas si, vos données sont scannées et partagées

La première étape pour comprendre comment fonctionne la cybersécurité est d'accepter que vos données en ligne sont déjà scannées. Le gouvernement, les organismes d'application de la loi et les entreprises privées sont tous à la recherche d'activités Internet suspectes. Les spammeurs, les botnets et les hacks malveillants sur des sites comme Twitter tombent dans une large catégorie de cybercriminalité. Les tentatives visant à attaquer les «infrastructures critiques» (comme les services d'électricité et d'eau et les réseaux de communication) ou les civils sont encore plus préoccupantes.

CISPA permettrait aux entreprises privées de partager des données considérées comme des «informations sur les menaces cybernétiques». La CISPA permettrait aux entreprises privées de partager des données avec les responsables de l'application de la loi et les organismes gouvernementaux si les données sont qualifiées de «renseignements sur les cybermenaces» qui pourraient aider à résoudre un crime. Selon Jeramie Scott, responsable de la sécurité nationale au Centre d'information sur la protection de la vie privée, l'imprécision de ce terme est une grande partie du problème de la vie privée. «Il utilise dans sa définition des termes comme« vulnérabilité à un réseau »et« menace à l'intégrité d'un réseau »que le secteur privé peut interpréter», explique Scott.

Les définitions couvrant les données sont assez vagues pour encourager le partage excessif

L'imprécision de CISPA donne aux sociétés privées beaucoup de marge de manœuvre pour surseoir l'information. «Supposons qu'un site de réseau social subisse une attaque par déni de service», explique Scott. "Le site pourrait simplement offrir les détails diagnostiques les plus pertinents au gouvernement, mais il pourrait également fournir des informations personnelles sur tous les profils concernés - y compris, par exemple, avec qui vous êtes connecté, et le profil des détails bio-aussi longtemps que le réseau social a considéré que l'information faisait partie des «informations sur les menaces cybernétiques».

Selon le conseiller législatif Michelle Richardson de l'American Civil Liberties Union, chaque spam stupide que vous recevez du Nigeria pourrait rendre vos données justes pour une enquête plus approfondie. «Ce sont des événements quotidiens qui sont des événements de cybersécurité en vertu du projet de loi», explique Richardson. Selon Rainey Reitman, directeur de l'activisme à l'Electronic Frontier Foundation, un service pourrait partager toutes les données qu'il considère comme des «informations sur les menaces cybernétiques» et pourrait le faire «sans procédure légale, tant qu'il est de bonne foi» et »

Le partage des données sera plus facile - ou automatique

Richardson, de l'ACLU, ajoute que, dans le cadre de la CISPA, le partage des données se fera en douceur, et ce, sans difficulté. Au lieu de suivre un processus dans lequel le gouvernement demande spécifiquement de l'information, «ils parlent d'une sorte de processus qui va automatiquement transmettre des choses au gouvernement», dit Richardson.

Si les données vont être routées automatiquement, quand et comment les PII sont retirés des données devient un plus gros problème. Malheureusement, personne ne parle de rendre les identités des utilisateurs complètement anonymes. Non, les personnes derrière la CISPA sont satisfaites de la simple "minimisation" - faisant un effort raisonnable pour retirer les PII. Voici la définition de «l'information sur la menace cybernétique» qui revient une fois de plus, déclare Scott: «La CISPA n'exige pas qu'une société privée supprime ou resserre autrement l'information fournie au gouvernement tant qu'elle relève de la compétence générale.

Les experts en sécurité recherchent les tendances, la prévalence de certains comportements et les modèles de propagation pour les logiciels malveillants, et non les informations personnelles. -David LeDuc, SIIA

Bien qu'il semblerait logique que l'entreprise fournisseuse dépouille les PII des données qu'ils partagent, en vertu de la CISPA, cette tâche incombe au gouvernement. David LeDuc est directeur principal des politiques publiques pour la Software & Information Industry Association, un important groupe de commerce représentant les développeurs de logiciels et les entreprises de contenu numérique, qui soutient la CISPA. LeDuc minimise l'importance des PII dans la cybersécurité, en disant que ce n'est pas ce qui intéresse les professionnels engagés dans la lutte contre la cybercriminalité. «Les experts en sécurité recherchent des tendances», dit-il, «la prévalence de certains comportements et modèles de propagation pour les logiciels malveillants, pas à des fins personnelles».

LeDuc souligne également que la CISPA a été modifiée pour rendre la minimisation gouvernementale c'est obligatoire. «Le gouvernement fédéral doit minimiser les informations qu'il reçoit du secteur privé pour obtenir des informations sur des personnes spécifiques qui ne sont pas nécessaires pour répondre à une cybermenace», dit-il.

Cependant, cet amendement n'aborde pas la question de savoir ce qui arrive données partagées entre entreprises privées. Étant donné que seul le gouvernement a la tâche de minimiser les IPI en vertu de la LPCC, les sociétés privées peuvent partager entre elles des données relativement riches en PII sans faire aucun effort de minimisation. En parlant avant le vote de la Chambre sur CISPA, le représentant Adam Schiff (D-Californie) a clairement exprimé sa désapprobation. "Les entités privées peuvent partager des informations entre elles sans jamais passer par le gouvernement", a-t-il déclaré. "Dans ces circonstances, comment le gouvernement peut-il minimiser ce qu'il n'a jamais?

Le député Schiff avait présenté un amendement pour combler cette lacune, mais il se plaint que les parrains de la CISPA ne l'ont jamais soumis à la Chambre pour un vote.

Ce qui intéresse les entreprises privées: les procès

Sous le prétexte de partager et de minimiser, la CISPA semble vraiment protéger les entreprises qui fournissent des données contre les poursuites. Lorsqu'on lui a demandé quelle était la chose la plus importante à savoir pour les consommateurs au sujet de CISPA, LeDuc de la SIIA a déclaré que les risques de responsabilité contrecarraient les efforts de cybersécurité. "Malheureusement, dans le cadre juridique actuel, les entreprises ou toute entité privée risquent de prendre des mesures réglementaires ou juridiques pour partager des informations qui pourraient être utiles pour prévenir ou atténuer une menace ou un incident de cybersécurité", dit-il.La plupart d'entre nous n'auront aucune idée si nos données sont utilisées ou mal utilisées, à moins que cela ne nous morde.

La perspective d'un litige est quelque peu étrange. Après tout, avec ces énormes efforts de balayage de données, la plupart d'entre nous n'auront aucune idée si nos données sont utilisées ou mal utilisées, à moins que cela ne nous morde. Si cela devait se produire, cependant, il serait bon d'avoir un processus de recours légal. Là encore, le langage vague de CISPA rend la vie privée plus difficile à protéger. Richardson de l'ACLU dit: «Ce n'est pas seulement ce que vous pouvez partager, mais toutes les décisions que vous prenez en fonction des informations partagées sont également immunisées. Ils utilisent effectivement ce terme, «décisions prises», qui est incroyablement large. »

La« bonne foi »couvre beaucoup de dommages bien intentionnés

Mais le LeDuc de la SIIA insiste sur le fait qu'il existe un processus. «Les citoyens individuels ne perdent pas leur capacité de poursuivre ou d'utiliser les tribunaux pour obtenir réparation», dit-il. «Dans tous les cas où une entreprise a été jugée« de mauvaise foi », elle serait probablement responsable d'un préjudice causé à une personne.»

Reitman de l'EFF dit que la couverture de «bonne foi» pourrait facilement disparaître loin. Protégées de toute responsabilité, les entreprises pourraient partager plus de données plus librement. Par exemple, dit Reitman, "Netflix pourrait donner au gouvernement une liste des noms, numéros de cartes de crédit, adresses personnelles et activités du compte pour tous ceux qui ont regardé le film

Hackers

pendant les trois semaines précédant Netflix »La CISPA prévoit actuellement une surveillance civile du partage des données par l'intermédiaire du Department of Homeland Security et d'autres entités, mais si les données sont ensuite transmises à une entité militaire, la surveillance cesse. savoir ce qu'ils ont fait avec ces données », explique Reitman. «Nous ne pensons pas que ce serait de bonne foi, mais il serait difficile pour les clients de le découvrir et de le prouver plus tard.» CISPA ne peut pas aller loin

Ceci est la deuxième tentative de la CISPA pour obtenir l'approbation du Sénat. son succès est loin d'être certain, surtout compte tenu de l'intention clairement exprimée par le président d'opposer son veto à la CISPA dans sa forme actuelle. Bien qu'aucun texte de loi ne soit parfait, les opposants soulignent que l'imprécision et les failles de la CISPA sont des obstacles au jeu. Richardson de l'ACLU dit: «Les gens parlent de la pénétration et de la volée de la propriété intellectuelle par la Chine. S'ils avaient rédigé un projet de loi à ce sujet, nous aurions moins de plaintes.

CISPA montre le tiraillement compliqué entre la vie privée en ligne et les efforts de cybersécurité.

Les sénateurs préparent également une législation alternative sur la cybersécurité - bien que cela n'ait pas fonctionné l'année dernière, soit. Le sénateur John D. (Jay) Rockefeller (D-Virginie de l'Ouest) parraine la loi sur la cybersécurité et la loi américaine sur la cyber-compétitivité de 2013 (comme il l'a fait un effort similaire en 2012 qui a stagné). Dans un communiqué publié après le vote de la Chambre sur la CISPA, le sénateur Rockefeller a déclaré: «L'action d'aujourd'hui à la Chambre est importante, même si les mesures de protection de la vie privée de la CISPA sont insuffisantes. Nous avons besoin d'une action sur tous les éléments qui renforceront notre cybersécurité, et pas seulement un, et c'est ce que le Sénat va réaliser. »Plus tôt cette semaine, le sénateur Dianne Feinstein (D-Californie), co-parrain du même projet de loi, a déclaré «Nous sommes en train de rédiger un projet de loi bipartisan sur le partage de l'information et procéderons dès que nous parviendrons à un accord.»

Le projet de loi montre la lutte compliquée entre la protection de la vie privée en ligne et la cybersécurité. L'ACLU Richardson croit que CISPA inspirera le Sénat pour trouver une meilleure solution. "Tout le monde dans ce jeu regarde quelque chose de plus ciblé et stratégique et protégé de la vie privée." La réponse imparfaite est quelque part là-bas, avec autant de chance pour le petit gars qu'il semble y avoir pour le big data.