Privasi versus keamanan dunia karena RUU CISPA tiba di Senat

Pembaruan: Pada hari Kamis, Berita AS melaporkan bahwa CISPA "hampir dipastikan akan dikesampingkan," mengutip komentar yang dibuat oleh perwakilan yang tidak disebutkan namanya dari Komite Senat AS untuk Perdagangan, Sains dan Transportasi. US News juga mengutip Michelle Richardson, penasihat hukum dengan ACLU, yang mengatakan, "Saya pikir ini sudah mati untuk saat ini. CISPA terlalu kontroversial, terlalu luas, itu bukan jenis program yang sama yang direnungkan oleh Senat tahun lalu." Richardson memperkirakan butuh beberapa bulan untuk undang-undang baru untuk mendapatkan suara.

Keamanan dunia maya dan privasi online adalah dua kepentingan penting yang tampaknya ditakdirkan untuk tidak pernah akur. Tentu, Anda ingin hacker jahat, spammer, dan lowlif Internet lainnya dibawa ke pengadilan - tetapi Anda juga ingin melindungi data online Anda.

Sebagian besar dari pertikaian cybercrime, bagaimanapun, menuntut pengumpulan data online agregat tumpukan jerami dan memindai untuk menemukan jarum yang mencurigakan dari aktivitas yang mencurigakan. Data online Anda dapat disapu ke salah satu tumpukan ini dan dipindai. Apa yang terjadi di sepanjang jalan adalah dugaan siapa pun.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda] Langkah pertama dalam memahami bagaimana cybersecurity bekerja adalah menerima bahwa data online Anda akan dipindai-dan sudah menjadi

Itulah mengapa Anda ingin mengawasi Undang-Undang Pembagian dan Perlindungan Intelektual Dunia (CISPA), yang lolos ke DPR AS minggu lalu dan sekarang sedang dipertimbangkan oleh Senat, di mana saat ini dalam komite. CISPA bertujuan untuk melonggarkan pembatasan yang saat ini mengatur pembagian data di antara para penyelidik cybersecurity. Itu mungkin terdengar cukup masuk akal, tetapi kontroversi muncul tentang bagaimana data ditangani secara khusus, bagaimana itu dibagikan, dan bagaimana informasi pribadi yang dapat diidentifikasi (PII) diminimalkan.

Selain itu, RUU tersebut menciptakan tingkat kekebalan yang tinggi dari tuntutan hukum. untuk pemerintah dan perusahaan swasta yang berbagi data. Ini tidak benar-benar menghibur ketika mereka berbagi data Anda.

Kapan, tidak jika, data Anda dipindai dan dibagikan

Langkah pertama dalam memahami cara kerja cybersecurity adalah menerima bahwa data online Anda sudah dipindai. Pemerintah, penegak hukum, dan perusahaan swasta semuanya waspada terhadap aktivitas Internet yang mencurigakan. Spammer, botnet, dan peretasan jahat ke dalam situs-situs seperti Twitter masuk dalam satu kategori besar cybercrime. Yang lebih memprihatinkan adalah upaya untuk menyerang "infrastruktur penting" (seperti listrik dan utilitas air, dan jaringan komunikasi), atau warga sipil.

CISPA akan membiarkan perusahaan swasta berbagi data yang dianggap sebagai "informasi ancaman siber."

CISPA akan membiarkan perusahaan swasta berbagi data dengan aparat penegak hukum dan lembaga pemerintah jika data tersebut memenuhi syarat sebagai apa yang tagihannya sebut "informasi ancaman siber" yang dapat membantu memecahkan kejahatan. Ketidakjelasan istilah itu adalah bagian besar dari masalah privasi, kata Jeramie Scott, rekan keamanan nasional di Pusat Informasi Privasi Elektronik. "Ini menggunakan istilah seperti 'kerentanan terhadap jaringan' dan 'ancaman terhadap integritas jaringan' dalam definisi yang diserahkan kepada sektor swasta untuk ditafsirkan," kata Scott.

Definisi yang mencakup data cukup samar untuk mengundang oversharing

Ketidakjelasan CISPA memberi perusahaan-perusahaan swasta banyak ruang gerak untuk memperluas informasi. "Katakanlah situs jejaring sosial menderita serangan denial-of-service," kata Scott. “Situs ini hanya dapat menawarkan detail diagnostik yang lebih relevan kepada pemerintah, tetapi juga dapat memberikan informasi pribadi pada semua profil yang terpengaruh-termasuk, misalnya, dengan siapa Anda terhubung, dan rincian biodata profil-selama jaringan sosial menganggap bagian informasi dari 'informasi ancaman siber'. "

Menurut penasihat legislatif Michelle Richardson dari American Civil Liberties Union, setiap spam bodoh yang Anda terima dari Nigeria dapat membuat data permainan Anda yang adil untuk penyelidikan lebih lanjut. "Ini adalah kejadian sehari-hari yang merupakan peristiwa cybersecurity di bawah tagihan," kata Richardson. Rainey Reitman, direktur aktivisme di Electronic Frontier Foundation, mengatakan bahwa sebuah layanan dapat berbagi data yang dianggap "informasi ancaman cyber" dan dapat melakukannya "tanpa proses hukum, selama itu dalam 'niat baik' dan untuk ' Tujuan cybersecurity. '"

Berbagi data akan lebih mudah-atau otomatis

Richardson ACLU menambahkan bahwa di bawah CISPA, pembagian data akan sangat lancar. Alih-alih melalui proses di mana pemerintah secara khusus meminta informasi, "mereka berbicara tentang semacam proses yang secara otomatis akan meneruskan barang ke pemerintah," kata Richardson.

Jika data akan diarahkan secara otomatis, kapan dan bagaimana PII dilucuti dari data menjadi masalah yang lebih besar. Sayangnya, tidak ada yang berbicara tentang membuat identitas pengguna sepenuhnya anonim. Tidak, orang-orang di belakang CISPA puas dengan hanya "minimisasi" -membuat upaya yang wajar untuk menghapus PII. Di sinilah definisi "informasi ancaman cyber" sekali lagi ikut bermain, kata Scott EPIC: "CISPA tidak mengharuskan [perusahaan swasta] untuk menghapus atau mempersempit informasi yang diberikan kepada pemerintah selama berada di bawah payung yang luas. informasi ancaman siber. ”

Pakar keamanan mencari tren, prevalensi perilaku tertentu, dan pola propagasi untuk malware-bukan pada informasi pribadi. -David LeDuc, SIIA Meskipun tampaknya masuk akal bagi perusahaan yang menyediakan untuk menelanjangi PII dari data yang mereka bagi, di bawah CISPA, tugas itu jatuh ke tangan pemerintah. David LeDuc adalah direktur senior kebijakan publik untuk Asosiasi Industri Perangkat Lunak & Informasi, sebuah kelompok perdagangan besar yang mewakili pengembang perangkat lunak dan bisnis konten digital, yang mendukung CISPA. LeDuc meremehkan pentingnya PII dalam keamanan dunia maya, mengatakan bahwa itu bukan kepentingan para profesional yang terlibat dalam memerangi cybercrime. "Pakar keamanan mencari tren," katanya, "prevalensi perilaku tertentu, dan pola propagasi untuk malware-bukan pada informasi pribadi."

LeDuc juga menunjukkan bahwa CISPA telah diubah dari membuat minimisasi berbasis pemerintah opsional untuk membuat itu wajib. "Pemerintah federal harus meminimalkan informasi yang diterimanya dari sektor swasta untuk mengambil informasi tentang orang-orang tertentu yang tidak diperlukan untuk menanggapi ancaman dunia maya," katanya.

Namun, amandemen ini tidak menjawab pertanyaan tentang apa yang terjadi pada data dibagi antara perusahaan swasta. Karena hanya pemerintah yang memiliki tugas untuk meminimalkan PII di bawah CISPA, perusahaan swasta dapat berbagi data yang relatif kaya PII di antara mereka sendiri tanpa melakukan upaya minimalisasi. Dalam berbicara sebelum DPR memilih CISPA, Perwakilan Adam Schiff (D-California) menegaskan ketidaksetujuannya. "Entitas swasta dapat berbagi informasi satu sama lain tanpa melalui pemerintah," katanya. “Dalam situasi seperti itu, bagaimana pemerintah dapat meminimalkan apa yang tidak pernah dimiliki? Jadi minimisasi sisi pemerintah saja, yang semua tagihan ini termasuk, tidak cukup. ”

Anggota Kongres Schiff telah memperkenalkan amandemen untuk mengatasi celah ini, tetapi dia mengeluh bahwa sponsor CISPA tidak pernah membawanya ke DPR untuk pemungutan suara.

Apa yang dipedulikan oleh perusahaan swasta: tuntutan hukum

Di bawah semua pembicaraan tentang berbagi dan meminimalkan ini, apa yang CISPA saksikan adalah melindungi perusahaan yang menyediakan data dari digugat karena melakukan hal itu. Ketika ditanya apa hal yang paling penting bagi konsumen untuk mengetahui tentang CISPA, LeDuc SIIA mengatakan bahwa risiko kewajiban menggagalkan upaya cybersecurity. "Sayangnya, di bawah kerangka hukum saat ini, perusahaan, atau entitas swasta apa pun, menghadapi risiko tindakan regulasi atau hukum untuk berbagi informasi yang mereka yakini dapat bermanfaat untuk mencegah atau mengurangi ancaman atau insiden cybersecurity," katanya.

Sebagian besar dari kita tidak akan tahu apakah data kita digunakan atau disalahgunakan, kecuali jika itu kembali menggigit kita.

Prospek litigasi agak aneh. Lagi pula, dengan upaya pemindaian data yang besar ini, kebanyakan dari kita tidak akan tahu apakah data kita digunakan atau disalahgunakan, kecuali jika itu kembali menggigit kita. Jika itu terjadi, bagaimanapun, akan menyenangkan untuk memiliki proses untuk mendapatkan bantuan hukum. Di sini sekali lagi, bahasa CISPA yang kabur membuat privasi lebih sulit untuk dilindungi. Richardson ACLU mengatakan, “Ini bukan hanya apa yang dapat Anda bagikan, tetapi keputusan apa pun yang Anda buat berdasarkan informasi yang dibagikan juga diimunisasi. Mereka benar-benar menggunakan istilah itu, "keputusan yang dibuat," yang sangat luas. "

'Itikad baik' mencakup banyak kerusakan yang bermaksud baik

Tapi LeDuc SIIA bersikeras bahwa ada proses. "Warga negara individu tidak kehilangan kemampuan mereka untuk menuntut atau memanfaatkan pengadilan untuk ganti rugi," katanya. "Setiap kasus di mana perusahaan telah ditemukan tidak bertindak dalam 'itikad baik,' mereka kemungkinan akan bertanggung jawab atas kerugian seseorang."

Reitman dari EFF mengatakan bahwa penutup "itikad baik" dapat dengan mudah pergi juga jauh. Dilindungi dari kewajiban, perusahaan dapat berbagi lebih banyak data dengan lebih bebas. Misalnya, kata Reitman, "Netflix dapat memberikan kepada pemerintah daftar nama, nomor kartu kredit, alamat rumah, dan aktivitas akun untuk semua orang yang menonton film Peretas selama tiga minggu menjelang Netflix menderita serangan DDOS ringan. "CISPA saat ini menyediakan untuk pengawasan sipil berbagi data melalui Departemen Keamanan Dalam Negeri dan entitas lainnya, tetapi jika data kemudian diteruskan ke entitas militer, pengawasan berakhir.

" Kami tidak akan pernah tahu apa yang mereka lakukan dengan data itu, ”kata Reitman. "Kami tidak berpikir itu akan dengan itikad baik, tetapi akan sulit bagi pelanggan untuk menemukan dan kemudian membuktikan."

CISPA mungkin tidak jauh

Ini adalah upaya kedua CISPA untuk memenangkan persetujuan Senat, dan Keberhasilannya jauh dari pasti - terutama mengingat niat Presiden yang jelas menyatakan untuk memveto CISPA dalam bentuknya saat ini. Meskipun tidak ada undang-undang yang sempurna, lawan menunjukkan ketidakjelasan dan celah CISPA sebagai penghenti permainan. Richardson ACLU mengatakan, “Orang-orang membicarakan tentang China yang melanggar dan mencuri kekayaan intelektual. Jika mereka telah menulis tagihan tentang itu, kami akan memiliki lebih sedikit keluhan. CISPA luas dan banyak melakukan aktivitas sehari-hari. ”

CISPA menunjukkan tarik menarik perang antara privasi online dan upaya cybersecurity.

Senator juga menyiapkan undang-undang keamanan dunia maya alternatif - meskipun itu tidak berhasil tahun lalu, baik. Senator John D. (Jay) Rockefeller (D-West Virginia) mensponsori Cybersecurity dan American Cyber ​​Competitiveness Act of 2013 (saat dia melakukan upaya serupa di tahun 2012 yang terhenti). Dalam siaran pers yang diposting setelah DPR memilih CISPA, Senator Rockefeller mengatakan, “Tindakan hari ini di DPR penting, bahkan jika perlindungan privasi CISPA tidak mencukupi. Kita perlu tindakan pada semua elemen yang akan memperkuat cybersecurity kami, bukan hanya satu, dan itulah yang akan dicapai Senat. ”Mencapai awal pekan ini, Senator Dianne Feinstein (D-California), seorang sponsor bersama dari RUU yang sama, mengatakan, “Saat ini kami sedang menyusun RUU berbagi informasi bipartisan dan akan dilanjutkan segera setelah kami mencapai kesepakatan.”

RUU yang berdiri menunjukkan tarikan perang yang rumit antara privasi online dan upaya cybersecurity. Richardson ACLU percaya bahwa CISPA akan menginspirasi Senat untuk menemukan solusi yang lebih baik. “Semua orang dalam game ini melihat sesuatu yang lebih bertarget dan strategis dan terlindungi oleh privasi.” Jawaban yang tidak sempurna ada di suatu tempat, semoga dengan perlindungan sebanyak mungkin untuk si kecil karena sepertinya ada data besar.