Avis: La CISPA n'est pas la loi contre la violation de la vie privée que vous estimez

Un projet de loi qui renforcerait la cybersécurité en permettant aux entreprises publiques et privées de partager des informations. et les groupes de libertés civiles. La controverse est erronée, cependant, et la législation est un pas dans la bonne direction.

CISPA, ou la Loi sur le partage et la protection du cyber-renseignement, a été présentée l'année dernière par les membres du comité permanent Rogers (R-MI) et Dutch Ruppersberger (D-MD). Le but de la loi est d'établir un cadre permettant aux entreprises publiques et privées de partager des informations sensibles dans le but d'identifier et de bloquer plus efficacement les cyberattaques.

La CISPA a d'abord passé par le Sénat, soutenue par un grand nombre de des sociétés technologiques comme AT & T, Comcast, Oracle, Symantec et Microsoft. Il est mort plus tard sur la vigne, cependant, sur les préoccupations de Big Brother espionnant les citoyens américains. Mais maintenant il est de retour: Le mois dernier, ses sponsors du Congrès ont ressuscité la facture en réponse à des attaques de grande envergure contre des cibles américaines au cours de l'année dernière.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

La réaction de la CISPA

Oui, le projet de loi est de retour, mais la CISPA n'est plus devenue populaire depuis l'année dernière. L'EFF (Electronic Frontier Foundation), l'ACLU (American Civil Liberties Union) et d'autres groupes de défense de la vie privée s'alignent pour s'opposer une fois de plus à la législation. De plus, Facebook, un partisan original de la législation, vient d'annuler son soutien cette semaine.

L'ACLU m'a communiqué une lettre qui a été envoyée aux membres du Congrès Rogers et Ruppersberger au nom d'une coalition d'organisations concernées. La lettre exprimait de sérieuses réserves à l'égard de la CISPA, soulignant l'incapacité à établir un contrôle civil sur le programme d'échange d'informations; l'absence d'obligation pour les organisations privées de retirer les informations personnellement identifiables des données partagées avec le gouvernement; Kurt Opsahl, avocat principal chez EFF, m'a expliqué: «Le rapport Mandiant montre combien d'informations utiles pourraient être partagées sans un nouveau projet de loi … Les problèmes [avec ce projet de loi] sont fondamentaux, et probablement trop profonds pour être résolus avec un compromis. »

Mais le ressac est-il justifié?

Le 16 avril 2012, un amendement au projet de loi visait à résoudre les problèmes de confidentialité. L'amendement clarifie ce que l'on entend par «information sur la menace cybernétique» pour assurer une interprétation plus étroite qui n'inclut pas la «propriété intellectuelle».

Certains craignaient que le projet de loi autorise les FSI ou fournisseurs de services à bloquer En réponse, l'amendement précise que la législation se limite à identifier, obtenir et partager des informations sur les cybermenaces et déclare expressément que le projet de loi n'autorise pas à bloquer des comptes ou à supprimer des informations.

L'amendement Il évite que toute information obtenue soit utilisée à d'autres fins que la collecte de renseignements pour laquelle il était destiné, et permet au gouvernement des États-Unis d'être poursuivi si l'information obtenue est utilisée d'une manière qui viole les limites imposées L'amendement donne également au procureur général des États-Unis la possibilité de surveiller les activités en vertu de la CISPA et d'assurer

Microsoft a partagé avec moi sa déclaration officielle sur CISPA, qui souligne simultanément les préoccupations en matière de confidentialité, mais reconnaît également que des progrès sont réalisés et implique le soutien de Microsoft aux objectifs sous-jacents de la CISPA:

"Microsoft estime que toute législation proposée devrait faciliter le partage volontaire des informations sur les menaces cybernétiques d'une manière qui nous permette d'honorer les promesses de confidentialité et de sécurité que nous faisons à nos clients. La législation présentée à la mi-février reflète des changements importants résultant d'un dialogue actif et constructif sur une version antérieure du projet de loi, et ce dialogue doit se poursuivre. Nous sommes impatients de continuer à travailler avec les décideurs et autres pour améliorer la cybersécurité tout en protégeant la vie privée des consommateurs. »- Scott Charney, vice-président, informatique de confiance

Pourquoi CISPA?

Fin février à la conférence de RSA sur la sécurité s'est entretenu avec les représentants parrains, Rogers et Ruppersberger. Rogers a expliqué la motivation derrière le soutien du projet de loi une fois de plus. "La quantité de richesse qui a été transférée des Etats-Unis à des endroits comme la Chine est à couper le souffle et dangereuse", at-il dit.

Rogers et Ruppersberger croient que si les agences de renseignement américaines pouvaient partager des informations classifiées avec le secteur privé, L'industrie de la sécurité et les entreprises privées seront mieux armées pour se défendre, de même que la communauté du renseignement pourrait également bénéficier du fait que les entreprises privées partagent ce qu'elles savent des attaques avec le gouvernement.

Le partage de l'information est essentiel En effet, le partage d'informations à la suite des attaques de l'Opération Aurora contre Google et d'autres organisations fournit un exemple concret de l'efficacité de ce partage: chaque entreprise peut savoir que quelque chose de suspect est en train de se produire. En comparant les notes avec d'autres entreprises et agences de renseignement, les pièces peuvent être localisées

L'objectif, selon Rogers, est de s'attaquer au partage de l'information d'une manière qui bénéficie d'un large soutien bipartite et de l'adhésion des principaux intervenants du gouvernement et du gouvernement. secteur privé. Les partisans du Congrès estiment que la CISPA est le meilleur moyen de donner au gouvernement et au secteur privé les outils nécessaires pour détecter les attaques sophistiquées et se prémunir contre les menaces persistantes.

Pourquoi maintenant?

Rogers et Ruppersberger Le discours du président Obama sur l'état de l'Union, dans lequel il a appelé à protéger la nation contre les cyberattaques. Est-ce que quelque chose a changé dans le projet de loi qui le différencie de la version qui a été abattu?

Ruppersberger a expliqué que lui et Rogers sont tous deux membres de la «bande des huit», un groupe d'élus qui ont accès à des renseignements clés et qui sont informés des questions de sécurité nationale jugées trop sensible à partager plus largement avec le reste du Congrès. Il a dit qu'on lui demande souvent ce qui le maintient éveillé la nuit, et l'une de ses principales réponses est «les cyberattaques».

Nous devons prendre des mesures pour empêcher le vol de données sensibles et exclusives.

Mais pourquoi soumettre même loi à nouveau? Ruppersberger a déclaré que le paysage des menaces a changé depuis l'année dernière, et qu'il y a plus de soutien maintenant pour ce qu'ils essaient d'accomplir avec la CISPA. "Nous sommes exposés, et ces attaques deviennent de plus en plus agressives - le Washington Post, le New York Times, le Wall Street Journal, je veux dire le Département du Trésor, et ça continue … Aramco, 30 000 ordinateurs mis hors service. Ils sont devenus beaucoup plus agressifs. »

Aller de l'avant

Une critique du projet de loi concerne la quantité d'information que les entreprises privées partageraient avec le gouvernement. Les opposants à la CISPA veulent que les différents types de données soient dépouillés ou minimisés avant d'être envoyés au gouvernement, mais les entreprises privées ne veulent pas avoir à passer au crible les données avant de les partager.

Ruppersberger a expliqué que la NSA a déjà des outils et de la technologie pour minimiser les données une fois que le gouvernement les reçoit, et que c'est un problème qui, selon lui, peut être réglé. Certaines des autres préoccupations liées à la CISPA sont une question de compétence. Rogers et Ruppersberger regardent le monde à travers le prisme du Comité permanent permanent du renseignement de la Chambre, et ils ont élaboré une législation pour régler les problèmes qu'ils voient dans le cadre de ce comité.

Alors où en sommes-nous maintenant? La loi doit maintenant faire l'objet d'une majoration et passer en comité avant même d'avoir la possibilité d'être mise aux voix. Il est donc encore temps de régler les problèmes et de négocier des compromis pour régler les problèmes qui subsistent.

La CISPA exige un équilibre difficile, mais il est crucial pour les intérêts économiques et de sécurité nationale des États-Unis de contrer les cyberattaques. Ni le gouvernement ni le secteur privé ne peuvent s'attaquer au problème à eux seuls. Une législation comme la CISPA est nécessaire pour faciliter le partage et la coopération dont nous avons besoin.

Les opinions exprimées dans cet article sont celles du chroniqueur et pas nécessairement celles de PCWorld