Kritik: CISPA masih merupakan tagihan pengawasan pemerintah

Sebuah komite DPR AS gagal membuat perubahan yang diperlukan untuk menghilangkan kekhawatiran tentang pengawasan pemerintah dalam RUU berbagi cyberthreat kontroversial yang bergerak menuju pemilihan DPR, kata para kritikus.

Komite Intelijen DPR, dalam voting 18-2 Rabu untuk menyetujui Cyber ​​Intelligence Sharing and Protection Act (CISPA), tidak mengatasi kekhawatiran bahwa RUU itu akan memungkinkan perusahaan swasta untuk berbagi terlalu banyak informasi pelanggan dengan lembaga pemerintah atas nama pertempuran cyberattacks, kelompok hak digital kata.

Pemimpin komite berharap House penuh untuk memilih CISPA secepat minggu depan.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Windows Anda PC]

"Cyberhackers dari negara-bangsa seperti China, Rusia, dan Iran menyusupi jaringan maya Amerika, mencuri miliaran dolar per tahun dalam kekayaan intelektual, dan merusak inovasi teknologi di jantung ekonomi Amerika," Ketua Komite Mike Rogers, seorang Republikan dan sponsor dari pihak Michigan, mengatakan dalam sebuah pernyataan. “RUU ini mengambil langkah kuat untuk membantu bisnis Amerika melindungi jaringan mereka dari penjarah cyber ini.”

Namun kelompok hak digital mengatakan bahwa RUU itu masih memiliki kekurangan besar. "Perubahan yang ditawarkan selama markup tertutup tidak melakukan apa pun untuk mengatasi kekhawatiran khusus yang kami ungkapkan tentang tagihan selama berbulan-bulan," kata Evan Greer, manajer kampanye di digital rights group Fight for the Future.

RUU akan memungkinkan perusahaan swasta untuk berbagi berbagai informasi pelanggan yang mereka anggap terkait dengan cyberthreats dengan lembaga AS seperti National Security Agency, Greer mengatakan dalam email.

"Versi CISPA yang lulus dari Komite kemarin memiliki beberapa perubahan yang membuatnya tampak lebih baik di permukaan, tetapi tidak melakukan apa pun untuk mengatasi cacat mendasar dengan tagihan, yang mana hal itu masih memungkinkan sejumlah besar data pengguna pribadi untuk dibagikan dengan agen rahasia, ”tambahnya. "Ini masih menyediakan perlindungan hukum yang menyapu bagi perusahaan yang berbagi data kami."

Jika sponsor CISPA tidak menginginkannya menjadi tagihan pengawasan, mereka harus melakukan perubahan tambahan, Greer menambahkan. "Jika itu benar, ada perbaikan mudah: tulis itu ke dalam RUU," tambahnya.

Sponsor dan beberapa anggota parlemen lainnya membela RUU, mengatakan itu memberikan perlindungan privasi yang signifikan. Panitia menerima amandemen dari Perwakilan Jim Langevin, seorang Rhode Island Democrat, yang melarang perusahaan dari serangan balik, atau hacking kembali, melawan cyberattackers setelah kelompok hak digital mengangkat kekhawatiran bahwa bahasa RUU itu bisa memungkinkan kegiatan tersebut.

Langevin memuji RUU itu, mengatakan lebih banyak berbagi informasi cyberthreat diperlukan, tetapi ia juga menyarankan bahwa CISPA "bukan solusi akhir untuk cybersecurity."

"Sementara [tagihan] berjanji untuk sangat meningkatkan kesadaran situasional, berbagi informasi saja tidak akan memungkinkan kita untuk mencegah setiap serangan, ”katanya dalam sebuah pernyataan. “Infrastruktur kami yang paling rentan dan berharga harus memenuhi standar keamanan siber minimum untuk meminimalkan risiko serangan cyber besar yang dapat menyebabkan jutaan orang tanpa listrik atau air minum yang aman untuk jangka waktu yang lama.”

Amandemen lain yang disetujui oleh komite akan membatasi penggunaan sektor swasta atas informasi cybersecurity yang diterima hanya untuk penggunaan cybersecurity. Beberapa kelompok hak digital dan privasi telah mempertanyakan apakah RUU itu akan memungkinkan perusahaan untuk menggunakan informasi cyberthreat yang mereka terima untuk tujuan lain.

Komite juga menghapus bahasa dari RUU itu akan memungkinkan pemerintah untuk menggunakan data yang dikumpulkan di bawah CISPA "untuk keamanan nasional tujuan, "dalam upaya untuk mempersempit penggunaan informasi oleh pemerintah.

Tapi Greer mempertanyakan apakah itu perbaikan yang substansial. Perubahan itu "bukan perbaikan nyata," katanya. "Istilah 'cybersecurity' sangat tidak jelas dalam RUU yang tidak memberikan batasan yang berarti pada apa yang dapat dilakukan dengan data yang dikumpulkan."

Sponsor dari RUU mengatakan itu berisi beberapa perlindungan privasi. CISPA melarang pemerintah memaksa entitas sektor swasta untuk memberikan informasi kepada pemerintah, dan mendorong perusahaan swasta untuk "menganonimkan" atau "meminimalkan" informasi yang secara sukarela mereka bagikan dengan pemerintah, kata sponsor.

RUU ini juga memungkinkan individu untuk menuntut pemerintah federal untuk kerusakan privasi, biaya dan biaya pengacara di pengadilan federal, dan itu membutuhkan peninjauan tahunan dari program berbagi informasi oleh inspektur jenderal intelijen. CISPA akan terbenam dalam lima tahun.

Namun, Perwakilan Adam Schiff, seorang Demokrat Kalifornia, mengatakan dia kecewa bahwa komite menolak amandemennya yang akan mengharuskan perusahaan untuk melakukan upaya yang wajar untuk menghapus informasi pribadi yang tidak terkait dari informasi cyberthreat yang mereka bagikan..

"Tidak terlalu banyak untuk meminta perusahaan memastikan bahwa mereka tidak mengirimkan informasi pribadi tentang pelanggan mereka, klien mereka, dan karyawan mereka ke agen intelijen, bersama dengan informasi keamanan cyber asli," katanya dalam sebuah pernyataan.

Di antara kelompok-kelompok yang menyuarakan dukungan untuk RUU itu adalah BSA dan Asosiasi Industri Informasi dan Perangkat Lunak, keduanya kelompok perdagangan perangkat lunak. CISPA akan "memberikan kerangka penting yang diperlukan untuk deteksi dini dan pemberitahuan ancaman cybersecurity," kata SIIA.