Krigen om cyberkrig har startet opp igjen. I forrige uke så Washington ikke én, men to store cybersikkerhetsbevegelser i den amerikanske hovedstaden. Tirsdag undertegnet president Obama en eksekutiv ordre som gir føderale byråer større myndighet til å dele Informasjon om «cybertrussel» med offentlig sektor, et trekk presidenten utropte i sin State of the Union adresse. Samme dag, reps. Mike Rogers (R-MI) og nederlandske Ruppersberger (D-MD) gjeninnførte Cyber Intelligence Sharing og Protection Act (CISPA), et sterkt omstridt lovforslag som vedtok huset i fjor, men døde i Senatet.
Gitt den ofte vage karakteren av cybersikkerhet, tettheten av foreslåtte lovverk og utøvende ordrer, og lidenskapen for disse problemene på begge sider, er det behov for en lidenskapelig avklaring. Her er en travel persons guide til Washingtons store cybersikkerhetsfremstøt.
Anbefalte videoer
Hva gjør president Obamas eksekutivordre?
Obamas eksekutive ordre tar sikte på å styrke nettsikkerhetsbeskyttelsen for landets "kritiske infrastruktur"-nettverk - elektriske nett, dammer og andre kraftverk, vannforsyningsselskaper, flykontroll og finansinstitusjoner – gjennom økt deling av informasjon. Nærmere bestemt gir den myndighetene fullmakt til å gi selskaper som driver kritiske infrastrukturnettverk «informasjon om cybertrusler».
"Det er politikken til USAs regjering å øke volumet, aktualiteten og kvaliteten på informasjon om cybertrusler som deles med Enheter i den private sektor i USA slik at disse enhetene bedre kan beskytte og forsvare seg mot cybertrusler,» leser.
Den utøvende ordren ber også den føderale regjeringen om å utarbeide anbefalinger for måter som leverandører av kritisk infrastruktur kan beskytte seg mot cyberangrep. Selskaper vil imidlertid ikke være pålagt å følge disse anbefalingene. Den vil også klargjøre hvilke offentlige etater som skal delta i cybersikkerhetsarbeidet.
Les hele kjennelsen her.
Er det noen som synes dette er dårlig?
Ikke egentlig. Pro-business tenketank arvestiftelsen roser deler av ordren, men sier også at den er for bred i omfang, noe som betyr at den kan ramme virksomheter som egentlig ikke trenger å være involvert ("som landbruk"). Heritage bekymrer seg også for at den ikke vil gjøre en veldig god jobb med å øke delingen, og mener det kan føre til at føderale byråer øker deres regulatoriske rekkevidde.
Personvernforkjempere mener imidlertid at den utøvende ordren gir den rette balansen mellom økt sikkerhet og beskyttelse for personlig frihet, ettersom den bare tillater deling i én retning: fra regjeringen til bedrifter – en viktig forskjell, som vi vil se videre.
"To jubel for cybersikkerhetsprogrammer som kan gjøre noe annet enn å spionere på amerikanere," skrev ACLU.
Den største klagen gjelder Obamas bruk av executive orders generelt, som kritikere sier omgår kontrollene til vår regjering. Hvor sant det enn er, er en offentlig pålegg sett av noen eksperter som bedre enn en som er holdt hemmelig, slik mange har vært tidligere.
Hva gjør CISPA?
I likhet med Obamas cybersikkerhetsordre, er CISPAs primære mål å øke deling av informasjon om cybertrussel (eller CTI, som de kule barna kaller det). I motsetning til Obamas ordre, tillater CISPA imidlertid deling av informasjon i begge retninger – fra regjering til virksomhet, og omvendt. Deling er ikke lovpålagt, men det er tillatt.
CISPA gir også bred juridisk immunitet til selskaper som samler inn og deler CTI med den føderale regjeringen, så lenge de gjør det så "i god tro" - noe som kan bety at bedrifter ikke kan saksøkes eller siktes for forbrytelser for innsamling og deling av CTI under CISPA. Videre beskytter CISPA den delte CTI fra åpenhetsmekanismer, som Freedom of Information Act (FOIA).
Les hele teksten til CISPA her: PDF.
Er det noen som synes dette er dårlig?
Det kan du vedde på. Personvernforkjempere er spesielt irritert over dette lovforslaget fordi de frykter at det vil la myndighetene få sine vanter på vår private kommunikasjon; fordi vi ikke vet hva av informasjonen vår som blir delt, sier de; og fordi det kan ta fra oss makten å straffe selskaper som samler inn og deler informasjonen de har om oss.
"Vår bekymring fra dag én har vært at disse kombinerte makt- og immunitetsbestemmelsene ville overstyre eksisterende personvernlover som avlyttingsloven og loven om lagret kommunikasjon," skrev Electronic Frontier Foundation (EFF). «Verre, loven gir immunitet «for beslutninger tatt basert på» CTI. Et useriøst eller villet selskap kan lett ta dårlige «avgjørelser» som vil gjøre mye mer skade enn godt, og som ikke bør immuniseres.»
Så snart som CISPAs retur ble annonsert i forrige uke lanserte en rekke Internett-sentriske borgerrettighetsgrupper, inkludert Demand Progress, Fight for the Future, EFF, Avaaz, ACLU og Free Press, begjæringer mot CISPA. På torsdag, Krev fremgang og kjempe for fremtiden levert mer enn 300 000 signaturer til House Intelligence Committee i protest mot CISPA. Og mer enn 1 million mennesker har signert anti-CISPA-petitioner så langt.
CISPA-medsponsorer, reps. Rogers og Ruppersberger, gjør alt de kan for å dempe bekymringen over CISPA, og hevder at regningen handler ikke om å spionere på innbyggerne, og at økt deling av CTI mellom offentlig og privat sektor er en enkel måte å bekjempe cybertrusler.
På forretningssiden, U.S. Telecom, en lobbyistgruppe fra Internett-leverandører; CTIA, den trådløse industriens lobbyarm; og AT&T har alle gått inn for CISPA – men vi bør forvente langt mer støtte fra privat sektor. Sist gang, hundrevis av selskaper direkte eller indirekte (gjennom lobbygruppene deres) ga uttrykk for støtte for lovforslaget, inkludert teknologigiganter som Facebook og IBM.
Hvorfor skjer alt dette nå?
Fordi folket i vår regjering er overbevist om cyberangrep er et alvorlig problem, og blir verre. I følge en desemberrapport fra Department of Homeland Security, cyberangrep på oljerørledninger og strømleverandører har steget 52 prosent fra fjoråret. Og National Intelligence Estimate nylig angitt at USA er, som Washington Post forteller det, "målet for en massiv, vedvarende nettspionasjekampanje som truer landets økonomiske konkurranseevne."
Alt dette kommer foran bakteppet av vedvarende hacks av The New York Times, Wall Street Journal, Washington Post og Bloomberg News av kinesiske hackere – høyprofilerte angrep som setter cybersikkerhetsproblemer mer fast i offentligheten.
Redaktørenes anbefalinger
- Alle de nye Safari-funksjonene i iPadOS 13 som du trenger å vite om
