Fixing CISPA: En guide til cybersikkerhetslovens viktigste endringer

CISPA Representantenes hus

Oppdater: CDT motsetter seg nå bestemt CISPA (igjen) fordi husordenskomiteen har avvist behandlingen av enhver endring som vil løse problemene som fortsatt er iboende med CISPA.

Originaltekst:

Sent tirsdag begynte muren av motstand mot loven om deling og beskyttelse av cyberintelligens, CISPA, å smuldre, da Center for Democracy & Technology kunngjorde at det ikke lenger ville motsette seg strengt vedtakelse av nettsikkerhetsloven i Hus. CDTs posisjonsendring kommer som et resultat av en rekke foreslåtte endringer, hvorav en rekke ifølge CDT vil løse mange av personvernproblemene som er inkludert i lovforslagets nåværende tekst (pdf).

Anbefalte videoer

Til tross for CDTs løfte om ikke aktivt å blokkere lovgivningen, sier gruppen at CISPA fortsatt inneholder to store feil. For det første vil CISPA fortsatt tillate National Security Agency (NSA) å få tilgang til informasjon som deles under lovforslaget. For det andre tillater CISPA fortsatt at informasjon deles for det ekstremt brede formålet å beskytte «nasjonal sikkerhet».

"I sum er det gjort gode fremskritt," skriver CDT på sin hjemmeside. «Komiteen lyttet til våre bekymringer og har gjort viktige personvernforbedringer, og vi applauderer komiteen for å gjøre det. Imidlertid kommer lovforslaget til kort på grunn av de gjenværende bekymringene - flyten av Internett-data direkte til NSA og bruken av informasjon til formål som ikke er relatert til cybersikkerhet. Vi støtter endringer for å møte disse bekymringene. Som anerkjenner viktigheten av cybersikkerhetsspørsmålet, i respekt for innsatsen i god tro gjort av styreleder Rogers og rangerende medlem Ruppersberger, og med den forståelse at endringsforslag vil bli vurdert av huset for å møte våre bekymringer, vil vi ikke motsette oss at prosessen går videre i Hus. Vi vil fokusere på endringene og deretter på Senatet.»

Så, hva er disse endringene, nøyaktig? Vel, for det første er det mange av dem - mer enn 40 totalt. La oss ta en titt på hva disse endringene er, hva de ville gjort, og hvordan de endrer CISPAs natur, på godt og vondt.

Endringer: Den første batchen

De første fem endringene er de som fremmes av CISPA-medforfattere Reps. Mike Rogers (R-MI) og nederlandske Ruppersberger (D-MD) under deres samtale med journalister på tirsdag. Nedenfor er deres beskrivelse av disse endringene:

Minimering, oppbevaring og meldingsendring: Hvis den blir godkjent, vil denne endringen:

  • Gi klar fullmakt til den føderale regjeringen til å iverksette rimelige anstrengelser for å begrense innvirkningen på personvernet og sivile friheter til deling av informasjon om cybertrusler med myndighetene, i samsvar med myndighetenes behov for å beskytte føderale systemer og cybersikkerhet.
  • Forby den føderale regjeringen å beholde eller bruke informasjon annet enn for formålene spesifisert i lovgivningen.
  • Krev at den føderale regjeringen varsler en enhet som frivillig deler informasjon om cybertrussel med regjeringen hvis regjeringen fastslår at den delte informasjonen faktisk ikke er cybertrussel informasjon.

Bruk tillegg: Denne endringen vil i betydelig grad stramme inn lovforslagets gjeldende begrensning på den føderale regjeringens bruk av informasjon om cybertrussel som er frivillig gitt av privat sektor. Endringen begrenser strengt den føderale regjeringens bruk av frivillig delt informasjon om nettrussel til følgende fem formål:

  • Cybersikkerhetsformål;
  • Etterforskning og rettsforfølgelse av cybersikkerhetsforbrytelser;
  • Beskyttelse av enkeltpersoner mot fare for død eller alvorlig kroppsskade, inkludert etterforskning og rettsforfølgelse av forbrytelser som involverer slik fare for død eller alvorlig kroppsskade;
  • Beskyttelse av mindreårige mot barnepornografi, enhver risiko for seksuell utnyttelse og alvorlige trusler mot den fysiske sikkerheten til en mindreårig, inkludert kidnapping og menneskehandel, inkludert etterforskning og rettsforfølgelse av forbrytelser som involverer barnepornografi, enhver risiko for seksuell utnyttelse og alvorlige trusler mot den fysiske sikkerheten til en mindreårig, inkludert kidnapping og menneskehandel, og enhver forbrytelse referert til i 18 USC 2258A(a)(2); og
  • Beskyttelse av USAs nasjonale sikkerhet.

Definisjonsendring: Denne endringen vil stramme inn lovforslagets definisjoner for å begrense hvilken informasjon om cybertrussel som kan identifiseres, innhentet og delt, samt formålene som slik informasjon kan identifiseres, innhentes og deles for. De nye definisjonene er begrenset til informasjon som direkte gjelder:

  • En sårbarhet i et system eller nettverk til en offentlig eller privat enhet;
  • En trussel mot integriteten, konfidensialiteten eller tilgjengeligheten til et slikt system eller nettverk eller all informasjon som er lagret på, behandlet på eller overfører et slikt system eller nettverk;
  • Forsøk på å forringe, forstyrre eller ødelegge et slikt system eller nettverk; og
  • Forsøk på å få uautorisert tilgang til et system eller nettverk, inkludert å få slik uautorisert tilgang med det formål å eksfiltrere informasjon som er lagret på, behandlet på eller transitering av et slikt system eller nettverk, men ikke inkludert forsøk på å få slik uautorisert tilgang som utelukkende involverer brudd på forbrukervilkår for tjeneste eller forbrukerlisensiering avtaler.

Endringer for å begrense føderale myndigheters bruk av cybersikkerhetssystemer: To endringer inngitt tirsdag som ville gjøre det klart (1) at ingenting i dette lovforslaget vil endre eksisterende myndigheter eller gi ny fullmakt til enhver enhet som bruker et føderalt regjeringseid eller drevet nettsikkerhetssystem på et privat sektorsystem eller nettverk for å beskytte et slikt system eller Nettverk; og (2) at lovforslagets ansvarsbestemmelse bare omfatter de myndigheter som er gitt i lovgivningen. Disse endringene er utformet for å fjerne eventuelle misforståelser angående privat sektors bruk av cybersikkerhetssystemer under lovforslaget.

Kort sagt, disse endringene begrenser i stor grad måten informasjon delt under CISPA kan brukes på, og hvilken informasjon som kan deles. "Minimering, oppbevaring og varslingstillegg" gir ekstra beskyttelse til enkeltpersoner ved å kreve regjeringen skal varsle et privat selskap når det deler informasjon som ikke er eksplisitt definert i CISPA.

Andre viktige endringer

Det er det første partiet. Men det er bare en liten del av de foreslåtte endringene til CISPA, hvorav noen går mye lenger mot å beskytte personvernet, og øke åpenheten om deling av informasjon under lovforslaget. Husordenskomiteen gir en liste over alle 41 endringer som er sendt til behandling. Her er de som, etter min vurdering, er de mest bemerkelsesverdige.

Oppdatering: Dette er de eneste endringene som huset vurderer. Ikke en eneste av endringene som ville fikse hovedproblemene med CISPA er inkludert.

  1. Reps. James Langevin / Daniel Lungren-endring
  2. Rep. John Conyers-endring
  3. Rep. Mike Pompeo Amendment #36
  4. Reps. Rogers (MI) / Ruppersberger / Issa / Langevin Amendment
  5. Rep. Sheila Jackson Lee-tillegg
  6. Reps. Quayle / Eshoo / Thompson (CA)-tillegg
  7. Reps. Amash / Labrador / Paul / Nadler / Polis-tillegg
  8. Reps. Mick Mulvaney / Norm Dicks-tillegg
  9. Rep. Jeff Flake-tillegg
  10. Rep. Laura Richardson-tillegg
  11. Rep. Mike Pompeo Amendment #37
  12. Rep. Robert Woodall-endring
  13. Rep. Bob Goodlatte-tillegg
  14. Rep. Michael Turner-tillegg
  15. Rep. Mick Mulvaney-tillegg
  16. Rep. Erik Paulsen Amendment

Originaltekst (som nå i utgangspunktet er meningsløs ...)

Tilsvarende endring: Bestemmelsen vil forby private selskaper å dele noen personlig identifiserbar informasjon om deres brukere med den føderale regjeringen, med mindre de har en rettskjennelse eller uttrykt skriftlig samtykke til å gjøre det så. Som CISPA for tiden er skrevet, blir selskaper ganske enkelt "oppfordret" til å fjerne personlig identifiserbar informasjon. Hvis det blir godkjent, vil denne endringen gå langt mot å beskytte brukernes personvern på en meningsfull måte. Les hele endringsteksten her: pdf.

Amash/Labrador/Paul/Nadler/Polls endring: Denne endringen vil forby deling av "blant annet bibliotekopptegnelser, våpensalgsopptegnelser og selvangivelser," under CISPA, uansett grunn. Jo mer begrenset rekkevidden av informasjonen som kan deles, jo bedre for personvernet. Les hele endringsteksten her: pdf.

Barton/Markey endring: Denne bestemmelsen vil bare tillate deling av personlig informasjon (som inkluderer alt fra navn til personnummer til tekstmeldinger og e-poster) for å "hindre et cyberangrep", men ikke for noen andre hensikt. Dette er mindre begrensende enn Akin-endringen, men mer begrensende enn "Bruksendringen" som er skissert ovenfor, som tillater deling av personopplysninger av andre grunner enn bare å forhindre en Cyber ​​angrep. Les hele endringsteksten her: pdf.

Conyers endring: Hvis den godkjennes, vil denne endringen gjøre selskaper (eller andre enheter i privat sektor) ansvarlige under både strafferett og sivilrett for deling av informasjon under CISPA å "sikre at de som uaktsomt forårsaker skade gjennom bruk av cybersikkerhetssystemer eller deling av informasjon ikke er unntatt fra potensielle sivile byrde." Endringen fastsetter at deling av informasjon som ikke er tillatt under CISPA må forårsake "skade" for at de som delte dataene skal være ansvarlig. Med andre ord kan de ikke saksøkes bare for å dele informasjonen hvis den faktisk ikke forårsaker noen skade. Les hele endringsteksten her: pdf.

Flake-endring: Denne ekstremt korte endringen vil kreve at generalinspektøren for etterretningssamfunnet gir en fullstendig liste over alle offentlige etater som mottar informasjonen samlet inn under CISPA. Riksinspektøren er for tiden pålagt å gi en årlig rapport om hvilken informasjon som ble delt, og hvordan den ble brukt. Hvis den vedtas, vil denne endringen gi større åpenhet for hvem som nøyaktig får tilgang til CISPA-dataene. Les hele endringsteksten her: pdf.

Goodlatte-tillegg: Denne endringen søker å mer snevert definere hvilken informasjon som kan deles med den føderale regjeringen under CISPA. Spesifikt utelukker det deling av informasjon som strengt tatt er knyttet til brudd på et nettsted eller et selskaps vilkår for bruk. Les hele endringsteksten her: pdf.

Lewis endring: Denne er for Occupy Wall Street-publikummet. Under Rep. Lewis' endring, informasjon delt under CISPA "kan ikke brukes av den føderale regjeringen til å overvåke, spore eller skaffe ytterligere informasjon med hensyn til demonstrantenes lovlige aktiviteter.» Det er klart at denne endringen er en seier for den første endringens beskyttelse av fri tale. Les hele endringsteksten her: pdf.

Lofgren/Paul/Pollis/Hastings endring: Denne endringen vil begrense bruken av informasjon samlet under CISPA til "cybersikkerhetsformål", som er mer snevre enn de gjeldende begrensningene. Det vil også tillate rettshåndhevelse å bruke informasjon samlet under CISPA for andre straffesaker, så lenge de har sannsynlige årsaker, og mottar rettslig myndighet til å bruke dataene. Les hele endringsteksten her: pdf.

Nadler-endring: Denne endringen vil utvide foreldelsesfristen for å tillate private parter å reise sivile søksmål mot føderale myndigheter for misbruk av informasjon inntil to år etter at de oppdaget, eller «burde» oppdaget, brudd. (For øyeblikket tillater CISPA en foreldelsesfrist to år etter "datoen for bruddet.) I tillegg, denne endringen vil tillate sivilt søksmål på grunn av "uaktsomhet" (ikke bare forsettlig eller forsettlig handling). Til slutt vil det tillate en person som er berørt av myndighetsbrudd å søke påbud. Les hele endringsteksten her: pdf.

Quigley endring: Denne endringen vil gi langt større åpenhet til informasjonen som deles under CISPA ved å gjøre det bare mulig å tillate at data som deles med den føderale regjeringen unntas fra friheten til Informasjonsloven (FOIA) hvis direktøren for nasjonal etterretning spesifikt skriftlig bestemmer at avsløring av materialet under FOIA vil veie opp for allmennhetens interesse i å gjøre dette. så. For øyeblikket kan CISPA tolkes til å unnta all informasjon som deles under regningen fra FOIA-avsløring. Les hele endringsteksten her: pdf.

Sanchez/Loretta-endring: Denne endringen gir retningslinjer for søk av elektroniske enheter ved grensesikkerhet. Retningslinjene er ganske grundige og omfattende, og forsøker hovedsakelig å begrense muligheten for overgrep. Jeg anbefaler på det sterkeste å lese denne endringen i sin helhet for å forstå begrensningene på steder for bruk av CISPA ved amerikanske grenser. Les hele endringsteksten her: pdf.

Schakowsky/Thompson/Bennie/Sanchez/Loretta-endring: Denne endringen vil kreve "rimelig innsats" for å fjerne personlig identifiserbar informasjon som deles under CISPA. Det er ikke på langt nær så strengt som Akin-tillegget (nevnt ovenfor), men et lite skritt i riktig retning. Les hele endringsteksten her: pdf.

Schakowsky/Sanchez/Loretta-endring: Denne er nøkkelen. Hvis den vedtas, vil denne endringen gi mandat at informasjon som deles under CISA bare gjøres tilgjengelig for sivile organisasjoner i den føderale regjeringen. Som det er skrevet for øyeblikket, vil CISPA tillate NSA eller andre militære organisasjoner (som har liten eller ingen offentlig tilsyn) å ha tilgang til informasjonen. Dette er et stort problem for talsmenn for personvern og borgerfrihet, og et problem som denne endringen vil løse. Les hele endringsteksten her: pdf.

Schiff/Schakowsky/Hastings/Alcee-endring: I likhet med andre endringer oppført ovenfor, vil denne bestemmelsen "minimere" mengden personopplysninger som deles under CISPA, gi ytterligere begrensninger på myndighetenes bruk av dataene, definerer «cybertrusselsinformasjon» og «cybersikkerhetsinformasjon», og legger til ytterligere sivilt tilsyn med cybersikkerhet. Les hele endringsteksten her: pdf.

Thompson/Bennie/Paul/Sanchez/Loretta/Amash-endring: Denne endringen vil etablere større gjennomgang av handlingene som er tatt under CISPA, og kreve "rimelig innsats" fra myndighetene for å strippe innsamlet data for personlig identifiserbar informasjon. Les hele endringsteksten her: pdf.

Thompson/Bennie/Langevin/Sanchez/Loretta/Hastings/Alcee-endring: Den fullstendig demokratiske endringen vil definere hvilke infrastruktursektorer som er kritiske for nasjonen, og etablere en rammeverk for å tillate eksisterende reguleringsbyråer å bedre beskytte disse kritiske infrastruktursektorene fra nettangrep. Dette er en interessant endring, siden den ikke pålegger den føderale regjeringen nye reguleringsmyndigheter (noe republikanerne er sterkt imot), men vil tilfredsstille president Obamas krav om at cybersikkerhetslovgivning inkluderer beskyttelse for kritiske infrastruktur. Les hele endringsteksten her: pdf.

Woodall-endring: Som med Nadler-endringen, vil denne bestemmelsen gjøre den føderale regjeringen ansvarlig hvis den bryter "avsløringen, bruk og beskyttelse av informasjon" deler av CISPA på grunn av uaktsomhet (i motsetning til "forsettlig" eller "forsettlig" handling. Les hele endringsteksten her: pdf.

Huff! Fortsatt med meg? Ok bra. Så, dette er mange (men ikke alle) av endringene som vil bli foreslått på torsdag (og muligens fredag), når CISPA går inn i huset. Huset vil åpne sin sesjon klokken 12.00 ET på torsdag, og klokken 21.00 ET på fredag.

For tiden har CISPA en god sjanse til å passere huset - lovforslagets forfattere sier at de allerede har stemmene - men den endelige fremtiden avhenger i stor grad av hvilke endringer som kommer inn i lovforslaget før det går til senatet. Tidligere i dag, Obama-administrasjonen truet med å nedlegge veto mot CISPA hvis den ikke inkluderer større personvernbeskyttelse, og eksplisitt beskyttelse for kritisk infrastruktur. Noen av disse endringene ovenfor vil gå langt for å mildne presidentens bekymringer. Likevel er det absolutt ingen garanti for at CISPA vil bli lov, eller til og med passere huset. Men hvis du er interessert i lovgivningsprosessen (som du åpenbart er hvis du har kommet så langt), er dette endringene du bør se på.

Bilde via kropic1/Shutterstock