המלחמה על מלחמת סייבר פרצה שוב. בשבוע שעבר, וושינגטון ראתה לא אחד אלא שני מהלכי אבטחת סייבר גדולים בבירת ארה"ב. ביום שלישי, הנשיא אובמה חתם על צו ביצוע המעניק לסוכנויות הפדרליות סמכות רבה יותר לשתף מידע על 'איום סייבר' עם המגזר הציבורי, מהלך שהנשיא הצהיר במדינת האיחוד שלו כתובת. באותו יום, נציגים. מייק רוג'רס (R-MI) ורופרסברגר ההולנדי (D-MD) הציגו מחדש את שיתוף מודיעין סייבר ו חוק ההגנה (CISPA), הצעת חוק שנויה במחלוקת חריפה שעברה בבית הכנסת בשנה שעברה, אך מתה במדינה סֵנָט.
לאור האופי המעורפל לעתים קרובות של אבטחת סייבר, הצפיפות של הצעות חקיקה וצווי ביצוע, והתשוקה לנושאים אלו משני הצדדים, יש צורך בהבהרה חסרת תשוקה. הנה מדריך של אדם עסוק לדחיפה הגדולה של אבטחת הסייבר של וושינגטון.
סרטונים מומלצים
מה עושה הצו הביצועי של הנשיא אובמה?
הצו הביצועי של אובמה נועד לחזק את הגנת אבטחת הסייבר לרשתות 'תשתית קריטית' של המדינה - רשתות חשמל, סכרים ותחנות כוח אחרות, חברות אספקת מים, בקרת תעבורה אווירית ומוסדות פיננסיים - באמצעות שיתוף מוגבר של מֵידָע. באופן ספציפי, הוא מאשר לממשלה לספק לחברות המפעילות רשתות תשתית קריטיות "מידע על איומי סייבר".
"זו מדיניותה של ממשלת ארצות הברית להגדיל את נפח המידע, העדכניות והאיכות של מידע איומי סייבר המשותף עם גופים במגזר הפרטי בארה"ב כדי שגופים אלה יוכלו להגן ולהגן על עצמם טוב יותר מפני איומי סייבר", צו הביצוע קורא.
הצו המבצע גם קורא לממשלה הפדרלית לנסח המלצות לדרכים שבהן ספקי תשתית קריטיים יכולים להגן על עצמם מפני התקפות סייבר. עם זאת, חברות לא יידרשו לציית להמלצות אלו. זה גם יבהיר אילו סוכנויות ממשלתיות ייקחו חלק במאמצי אבטחת סייבר.
קרא את הוראת הביצוע המלאה כאן.
מישהו חושב שזה רע?
לא באמת. צוות חשיבה פרו-עסקי הקרן למורשת משבח חלקים מהצו, אבל גם אומר שהוא רחב מדי בהיקפו, כלומר הוא עשוי להשתלב לעסקים שלא באמת צריכים להיות מעורבים ("כמו חקלאות"). מורשת גם מודאגת מכך שהיא לא תעשה עבודה טובה בהגדלת השיתוף, ומאמינה שהיא עשויה להוביל סוכנויות פדרליות להגדיל את טווח הרגולציה שלהן.
תומכי הפרטיות, לעומת זאת, מאמינים שהצו המבצע יוצר את האיזון הנכון בין אבטחה מוגברת והגנות עבור חירות אישית, מכיוון שהיא מאפשרת שיתוף רק בכיוון אחד: מהממשלה לעסקים - הבחנה מרכזית, כפי שנראה בהמשך.
"שתי עידוד לתוכניות אבטחת סייבר שיכולות לעשות משהו מלבד ריגול אחר אמריקאים", כתבתי ACLU.
התלונה הגדולה ביותר נוגעת לשימוש של אובמה בפקודות ביצוע באופן כללי, שלטענת המבקרים עוקף את האיזונים והבלמים של הממשלה שלנו. נכון ככל שיהיה, הוראת ביצוע ציבורית היא כמה מומחים רואים כטובים יותר מאשר אחד שנשמר בסוד, כפי שרבים היו בעבר.
מה עושה CISPA?
כמו צו אבטחת הסייבר של אובמה, המטרה העיקרית של CISPA היא להגביר את השיתוף של מידע על איומי סייבר (או CTI, כפי שהילדים המגניבים קוראים לזה). עם זאת, בניגוד להוראה של אובמה, CISPA מאפשרת שיתוף מידע בשני הכיוונים - מממשלה לעסקים, ולהיפך. שיתוף אינו מחייב בחוק, אך מותר.
CISPA מספקת גם חסינות משפטית רחבה לחברות שאוספות ומשתפות CTI עם הממשל הפדרלי, כל עוד הן עושות זאת. אז "בתום לב" - מה שאולי אומר שלא ניתן לתבוע עסקים או להאשים אותם בפשעים בגין איסוף ושיתוף CTI במסגרת CISPA. יתר על כן, CISPA מגן על ה-CTI המשותף מפני מנגנוני שקיפות, כמו חוק חופש המידע (FOIA).
קרא את הטקסט המלא של CISPA כאן: PDF.
מישהו חושב שזה רע?
תהיה בטוח. תומכי הפרטיות מוטרדים במיוחד מהצעת החוק הזו, משום שהם חוששים שהיא תאפשר לממשלה לקבל את כפפותיה על התקשורת הפרטית שלנו; כי לא נדע מה מהמידע שלנו משותף, הם אומרים; ומכיוון שזה עלול לקחת מאיתנו את הכוח להעניש חברות שאוספות ומשתפות את המידע שיש להן עלינו.
"הדאגה שלנו מהיום הראשון הייתה שהוראות הכוח והחסינות המשולבות הללו יעקפו את חוקי הפרטיות הקיימים כמו חוק האזנת סתר וחוק התקשורת המאוחסנת", כתבתי קרן הגבול האלקטרוני (EFF). "גרוע מכך, החוק מספק חסינות 'להחלטות שהתקבלו על סמך' CTI. חברה נוכלת או מוטעית יכולה בקלות לקבל 'החלטות' רעות שיגרמו הרבה יותר נזק מתועלת, ואסור לחסן אותה".
ברגע ש החזרה של CISPA הוכרזה בשבוע שעבר, מגוון קבוצות חירויות אזרחיות ממוקדות באינטרנט, כולל התקדמות דרישה, מאבק לעתיד, EFF, Avaaz, ACLU ו-Free Press, השיקו עצומות נגד CISPA. ביום חמישי, דרשו התקדמות ונלחמו על העתיד סיפק יותר מ-300,000 חתימות לוועדת המודיעין של בית הנבחרים במחאה על CISPA. ויותר ממיליון אנשים חתמו על עצומות נגד CISPA עד כה.
נותני חסות משותפים של CISPA, נציגים. רוג'רס ורופרסברגר, עושים כל שביכולתם כדי לצמצם את הדאגה לגבי CISPA, בטענה שהצעת החוק לא עוסק בריגול אחר אזרחים, וכי שיתוף מוגבר של CTI בין המגזר הציבורי והפרטי הוא דרך לא פשוטה להילחם באיומי סייבר.
בפן העסקי, U.S. Telecom, קבוצת לוביסטים מספקי שירותי אינטרנט; CTIA, זרוע הלובי של תעשיית האלחוט; ו AT&T כולם יצאו בעד CISPA - אבל אנחנו צריכים לצפות להרבה יותר תמיכה מהמגזר הפרטי. בפעם האחרונה, מאות חברות באופן ישיר או עקיף (דרך קבוצות הלובינג שלהם) הביעו תמיכה בהצעת החוק, כולל ענקיות טכנולוגיה כמו פייסבוק ו-IBM.
למה כל זה קורה עכשיו?
מכיוון שהאנשים בממשלה שלנו משוכנעים שהתקפות סייבר הן בעיה רצינית, והולכת ומחמירה. על פי דוח מדצמבר של המחלקה לביטחון פנים, התקפות סייבר על צינורות נפט וספקי חשמל עלה ב-52 אחוזים לעומת השנה שעברה. ואומדן המודיעין הלאומי שצוין לאחרונה כי ארה"ב היא, כפי שאומר לו הוושינגטון פוסט, "המטרה של מסע ריגול סייבר מסיבי ומתמשך המאיים על התחרותיות הכלכלית של המדינה".
כל זה בא מול הרקע של פריצות מתמשכות של הניו יורק טיימס, וול סטריט ג'ורנל, וושינגטון פוסט ובלומברג ניוז מאת האקרים סינים - התקפות בעלות פרופיל גבוה שמכניסות את חששות אבטחת הסייבר בצורה תקיפה יותר לתודעת הציבור.
המלצות עורכים
- כל התכונות החדשות של Safari ב-iPadOS 13 שאתה צריך לדעת עליהן
