La guerra por la ciberguerra ha estallado una vez más. La semana pasada, Washington vio no una, sino dos importantes medidas de ciberseguridad en la capital estadounidense. El martes, el presidente Obama firmó una orden ejecutiva que otorga a las agencias federales mayor autoridad para compartir información sobre “amenazas cibernéticas” con el sector público, una medida que el presidente promocionó en su Estado de la Unión DIRECCIÓN. El mismo día, los Representantes. Mike Rogers (R-MI) y Dutch Ruppersberger (D-MD) reintrodujeron Cyber Intelligence Sharing y Ley de Protección Civil (CISPA), un proyecto de ley muy disputado que fue aprobado por la Cámara el año pasado, pero murió en el Senado.
Dada la naturaleza a menudo vaga de la ciberseguridad, la densidad de las leyes y órdenes ejecutivas propuestas, y la pasión por estos temas en ambas partes, es necesario hacer algunas aclaraciones desapasionadas. He aquí una guía para personas ocupadas sobre el gran impulso de Washington en materia de ciberseguridad.
Vídeos recomendados
¿Qué hace la orden ejecutiva del presidente Obama?
La orden ejecutiva de Obama tiene como objetivo reforzar las protecciones de ciberseguridad para las redes de “infraestructura crítica” del país: redes eléctricas, represas y otras centrales eléctricas, empresas de suministro de agua, control del tráfico aéreo e instituciones financieras, mediante un mayor reparto de información. Específicamente, autoriza al gobierno a proporcionar a las empresas que administran redes de infraestructura crítica "información sobre amenazas cibernéticas".
“Es política del gobierno de los Estados Unidos aumentar el volumen, la puntualidad y la calidad de la información sobre amenazas cibernéticas compartida con entidades del sector privado de EE. UU. para que puedan protegerse y defenderse mejor contra las amenazas cibernéticas”, la orden ejecutiva lee.
La orden ejecutiva también exige que el gobierno federal redacte recomendaciones sobre formas en que los proveedores de infraestructura crítica pueden protegerse de los ataques cibernéticos. Sin embargo, las empresas no estarían obligadas a cumplir estas recomendaciones. También aclarará qué agencias gubernamentales participarán en los esfuerzos de ciberseguridad.
Lea la orden ejecutiva completa aquí.
¿Alguien piensa que esto es malo?
No precisamente. Grupo de expertos proempresariales la Fundación del Patrimonio elogia partes de la orden, pero también dice que su alcance es demasiado amplio, lo que significa que puede afectar a empresas que realmente no necesitan participar (“como la agricultura”). A Heritage también le preocupa que no haga un buen trabajo al aumentar el intercambio y cree que puede llevar a las agencias federales a aumentar su alcance regulatorio.
Sin embargo, los defensores de la privacidad creen que la orden ejecutiva logra el equilibrio adecuado entre mayor seguridad y protección para libertad personal, ya que sólo permite compartir en una dirección: del gobierno a las empresas (una distinción clave, como veremos) más allá.
"Dos hurras por los programas de ciberseguridad que pueden hacer algo más que espiar a los estadounidenses". escribió la ACLU.
La mayor queja se refiere al uso por parte de Obama de órdenes ejecutivas en general, que según los críticos elude los controles y equilibrios de nuestro gobierno. Por cierto que sea, una orden ejecutiva pública es visto por algunos expertos como mejor que uno que se mantiene en secreto, como lo han sido muchos en el pasado.
¿Qué hace CISPA?
Al igual que la orden de ciberseguridad de Obama, el objetivo principal de CISPA es aumentar el intercambio de información sobre amenazas cibernéticas (o CTI, como la llaman los chicos populares). Sin embargo, a diferencia de la orden de Obama, CISPA permite compartir información en ambas direcciones: del gobierno a las empresas y viceversa. La ley no exige compartir, pero está permitido.
CISPA también brinda amplia inmunidad legal a las empresas que recopilan y comparten CTI con el gobierno federal, siempre que lo hagan. hacerlo “de buena fe”, lo que podría significar que las empresas no pueden ser demandadas ni acusadas de delitos por recopilar y compartir CTI según CISPA. Además, CISPA protege la CTI compartida de mecanismos de transparencia, como la Ley de Libertad de Información (FOIA).
Lea el texto completo de CISPA aquí: PDF.
¿Alguien piensa que esto es malo?
Puedes apostar. Los defensores de la privacidad están particularmente molestos por este proyecto de ley porque temen que permitirá que el gobierno controle nuestras comunicaciones privadas; porque no sabremos qué parte de nuestra información se comparte, dicen; y porque puede quitarnos el poder de castigar a las empresas que recopilan y comparten la información que tienen sobre nosotros.
"Nuestra preocupación desde el primer día ha sido que estas disposiciones combinadas de poder e inmunidad anularían las leyes de privacidad existentes, como la Ley de escuchas telefónicas y la Ley de comunicaciones almacenadas". escribió la Fundación Frontera Electrónica (EFF). “Peor aún, la ley otorga inmunidad ‘por decisiones tomadas con base en’ CTI. Una empresa deshonesta o equivocada podría fácilmente tomar malas “decisiones” que harían mucho más daño que bien, y no debería ser inmunizada”.
Tan pronto como Se anunció el regreso de CISPA La semana pasada, una variedad de grupos de libertades civiles centrados en Internet, incluidos Demand Progress, Fight for the Future, EFF, Avaaz, ACLU y Free Press, lanzaron peticiones contra CISPA. El jueves, exijamos progreso y luchemos por el futuro entregó más de 300.000 firmas al Comité de Inteligencia de la Cámara de Representantes en protesta por CISPA. Y hasta ahora más de 1 millón de personas han firmado peticiones anti-CISPA.
Copatrocinadores de CISPA, Representantes. Rogers y Ruppersberger, están haciendo todo lo posible para calmar la preocupación sobre CISPA, argumentando que el proyecto de ley no se trata de espiar a los ciudadanos, y que un mayor intercambio de CTI entre los sectores público y privado es una forma obvia de combatir las amenazas cibernéticas.
En el lado empresarial, Telecomunicaciones de EE. UU., un grupo de presión de proveedores de servicios de Internet; CTIA, el brazo de presión de la industria inalámbrica; y AT&T Todos se han pronunciado a favor de CISPA, pero deberíamos esperar mucho más apoyo del sector privado. La última vez, cientos de empresas Directa o indirectamente (a través de sus grupos de presión) expresaron su apoyo al proyecto de ley, incluidos gigantes tecnológicos como Facebook e IBM.
¿Por qué está pasando todo esto ahora?
Porque la gente de nuestro gobierno está convencida de que los ataques cibernéticos son un problema grave y están empeorando. Según un informe de diciembre del Departamento de Seguridad Nacional, los ciberataques a oleoductos y proveedores de electricidad ha aumentado un 52 por ciento respecto al año pasado. Y la estimación de la Inteligencia Nacional indicado recientemente que Estados Unidos es, como dice el Washington Post, el “objetivo de una campaña masiva y sostenida de ciberespionaje que está amenazando la competitividad económica del país”.
Todo esto tiene como telón de fondo hacks sostenidos de The New York Times, Wall Street Journal, Washington Post y Bloomberg News por parte de piratas informáticos chinos: ataques de alto perfil que ponen las preocupaciones de ciberseguridad más firmemente en la mente del público.
Recomendaciones de los editores
- Todas las nuevas funciones de Safari en iPadOS 13 que necesitas conocer
