De oorlog tegen de cyberoorlog is opnieuw opgelaaid. Vorige week zag Washington niet één maar twee grote cyberveiligheidsbewegingen in de Amerikaanse hoofdstad. Dinsdag ondertekende president Obama een uitvoerend bevel dat federale agentschappen meer bevoegdheden geeft om te delen informatie over ‘cyberdreigingen’ met de publieke sector, een stap die de president aanprees in zijn State of the Union adres. Dezelfde dag hebben Rep. Mike Rogers (R-MI) en Dutch Ruppersberger (D-MD) hebben het delen van cyberinformatie opnieuw geïntroduceerd en Protection Act (CISPA), een fel omstreden wetsontwerp dat vorig jaar door het Huis van Afgevaardigden werd aangenomen, maar in de Tweede Kamer sneuvelde Senaat.
Gezien de vaak vage aard van cyberbeveiliging, de dichtheid van de voorgestelde wetgeving en uitvoeringsbesluiten, en de passie voor deze kwesties aan beide kanten, is enige nuchtere opheldering op zijn plaats. Hier is een gids voor drukke mensen over de grote cybersecurity-push van Washington.
Aanbevolen video's
Wat doet het uitvoerend bevel van president Obama?
Het uitvoerend bevel van Obama heeft tot doel de cyberveiligheidsbescherming voor de ‘kritieke infrastructuur’-netwerken van het land te versterken – elektriciteitsnetwerken, dammen en andere energiecentrales, watervoorzieningsbedrijven, luchtverkeersleiding en financiële instellingen – door het delen van energie informatie. Concreet machtigt het de overheid om bedrijven die kritieke infrastructuurnetwerken beheren te voorzien van ‘informatie over cyberdreigingen’.
“Het is het beleid van de Amerikaanse regering om het volume, de tijdigheid en de kwaliteit van de informatie over cyberdreigingen waarmee wordt gedeeld te vergroten Amerikaanse entiteiten uit de particuliere sector, zodat deze entiteiten zichzelf beter kunnen beschermen en verdedigen tegen cyberdreigingen”, aldus het uitvoeringsbesluit leest.
Het uitvoeringsbesluit roept de federale overheid ook op om aanbevelingen op te stellen voor manieren waarop aanbieders van kritieke infrastructuur zichzelf kunnen beschermen tegen cyberaanvallen. Bedrijven zouden echter niet verplicht zijn zich aan deze aanbevelingen te houden. Het zal ook duidelijk maken welke overheidsinstanties zullen deelnemen aan cyberbeveiligingsinspanningen.
Lees het volledige uitvoeringsbesluit hier.
Denkt iemand dat dit slecht is?
Niet echt. Pro-business denktank de Erfgoedstichting prijst delen van het besluit, maar zegt ook dat het een te brede reikwijdte heeft, wat betekent dat het bedrijven kan aantrekken die er niet echt bij betrokken hoeven te zijn (“zoals de landbouw”). Heritage maakt zich ook zorgen dat het niet erg goed zal presteren in het vergroten van het delen, en gelooft dat dit federale agentschappen ertoe kan aanzetten hun regelgevend bereik te vergroten.
Voorstanders van privacy zijn echter van mening dat het uitvoeringsbesluit het juiste evenwicht biedt tussen verhoogde veiligheid en bescherming van de privacy persoonlijke vrijheid, omdat delen slechts in één richting mogelijk is: van de overheid naar het bedrijfsleven – een belangrijk onderscheid, zoals we zullen zien verder.
“Twee hoera voor cyberbeveiligingsprogramma’s die nog iets kunnen doen naast het bespioneren van Amerikanen,” schreef de ACLU.
De grootste klacht betreft Obama’s gebruik van uitvoerende bevelen in het algemeen, die volgens critici de checks and balances van onze regering omzeilen. Hoe waar dat ook mag zijn, een openbaar uitvoeringsbesluit is dat wel door sommige experts als beter gezien dan een die geheim wordt gehouden, zoals velen in het verleden zijn geweest.
Wat doet CISPA?
Net als het cyberveiligheidsbevel van Obama is het primaire doel van CISPA het vergroten van het delen van informatie over cyberdreigingen (of CTI, zoals de coole kinderen het noemen). In tegenstelling tot het bevel van Obama staat CISPA echter het delen van informatie in beide richtingen toe: van de overheid naar het bedrijfsleven, en omgekeerd. Delen is niet wettelijk verplicht, maar mag wel.
CISPA biedt ook brede juridische immuniteit aan bedrijven die CTI verzamelen en delen met de federale overheid, zolang ze dat doen dus “te goeder trouw” – wat zou kunnen betekenen dat bedrijven niet kunnen worden aangeklaagd of beschuldigd van misdaden voor het verzamelen en delen van CTI onder CISPA. Bovendien beschermt CISPA de gedeelde CTI tegen transparantiemechanismen, zoals de Freedom of Information Act (FOIA).
Lees hier de volledige tekst van CISPA: Pdf.
Denkt iemand dat dit slecht is?
Zeker weten. Voorstanders van de privacy zijn vooral geïrriteerd door dit wetsvoorstel, omdat ze vrezen dat de overheid hierdoor de controle over onze privécommunicatie zal krijgen; omdat we niet weten welke informatie er wordt gedeeld, zeggen ze; en omdat het onze macht kan wegnemen om bedrijven te straffen die de informatie die zij over ons hebben verzamelen en delen.
“Onze zorg vanaf dag één was dat deze gecombineerde machts- en immuniteitsbepalingen bestaande privacywetten zoals de Wiretap Act en de Stored Communications Act terzijde zouden schuiven,” schreef de Electronic Frontier Foundation (EFF). “Erger nog, de wet biedt immuniteit ‘voor beslissingen die zijn genomen op basis van’ CTI. Een malafide of misleid bedrijf zou gemakkelijk slechte ‘beslissingen’ kunnen nemen die veel meer kwaad dan goed zouden doen, en mogen niet worden geïmmuniseerd.”
Zodra De terugkeer van CISPA werd aangekondigd Afgelopen week lanceerden diverse internetgerichte groepen voor burgerlijke vrijheden, waaronder Demand Progress, Fight for the Future, EFF, Avaaz, ACLU en Free Press, petities tegen CISPA. Eis op donderdag vooruitgang en vecht voor de toekomst leverde ruim 300.000 handtekeningen op aan de House Intelligence Committee uit protest tegen CISPA. En tot nu toe hebben meer dan 1 miljoen mensen anti-CISPA-petities ondertekend.
CISPA-medesponsors, vertegenwoordigers. Rogers en Ruppersberger doen er alles aan om de zorgen over CISPA weg te nemen, met het argument dat het wetsvoorstel gaat niet over het bespioneren van burgers, en dat een grotere verdeling van CTI tussen de publieke en private sector een no-brainer manier is om cyberdreigingen te bestrijden.
Aan de zakelijke kant, Amerikaanse telecom, een lobbygroep van internetproviders; CTIA, de lobbytak van de draadloze industrie; En AT&T hebben zich allemaal vóór CISPA uitgesproken – maar we mogen veel meer steun van de particuliere sector verwachten. De laatste keer, honderden bedrijven direct of indirect (via hun lobbygroepen) hun steun uitgesproken voor het wetsvoorstel, waaronder technologiegiganten als Facebook en IBM.
Waarom gebeurt dit nu allemaal?
Omdat de mensen in onze regering ervan overtuigd zijn dat cyberaanvallen een serieus probleem zijn, en steeds erger worden. Volgens een rapport uit december van het ministerie van Binnenlandse Veiligheid, cyberaanvallen op oliepijpleidingen en elektriciteitsleveranciers is vorig jaar met 52 procent gestegen. En de National Intelligence Estimate onlangs aangegeven dat de VS, zoals de Washington Post het zegt, “het doelwit is van een massale, aanhoudende cyberspionagecampagne die de economische concurrentiekracht van het land bedreigt.”
Dit alles komt tegen de achtergrond van aanhoudende hacks van The New York Times, Wall Street Journal, Washington Post en Bloomberg News door Chinese hackers – spraakmakende aanvallen die zorgen over cyberveiligheid steviger in de publieke opinie plaatsen.
Aanbevelingen van de redactie
- Alle nieuwe Safari-functies in iPadOS 13 waarover u moet weten
