A guerra pela guerra cibernética acendeu-se mais uma vez. Na semana passada, Washington viu não uma, mas duas grandes medidas de segurança cibernética na capital dos EUA. Na terça-feira, o presidente Obama assinou uma ordem executiva que dá às agências federais maior autoridade para compartilhar informações sobre “ameaças cibernéticas” com o setor público, uma medida que o presidente elogiou em seu Estado da União endereço. No mesmo dia, os deputados. Mike Rogers (R-MI) e Dutch Ruppersberger (D-MD) reintroduziram o Cyber Intelligence Sharing e Protection Act (CISPA), um projeto de lei muito contestado que foi aprovado na Câmara no ano passado, mas morreu no Senado.
Dada a natureza muitas vezes vaga da cibersegurança, a densidade da legislação proposta e das ordens executivas, e a paixão por estas questões de ambos os lados, é necessário algum esclarecimento imparcial. Aqui está um guia para pessoas ocupadas sobre o grande esforço de segurança cibernética de Washington.
Vídeos recomendados
O que faz a ordem executiva do presidente Obama?
A ordem executiva de Obama visa reforçar as proteções de segurança cibernética para as redes de “infraestrutura crítica” do país – redes elétricas, barragens e outras centrais eléctricas, empresas de abastecimento de água, controlo de tráfego aéreo e instituições financeiras – através de uma maior partilha de Informação. Especificamente, autoriza o governo a fornecer às empresas que operam redes de infraestrutura crítica “informações sobre ameaças cibernéticas”.
“É política do Governo dos Estados Unidos aumentar o volume, a oportunidade e a qualidade das informações sobre ameaças cibernéticas compartilhadas com Entidades do setor privado dos EUA para que essas entidades possam proteger-se e defender-se melhor contra ameaças cibernéticas”, a ordem executiva lê.
A ordem executiva também apela ao governo federal para elaborar recomendações sobre formas como os fornecedores de infra-estruturas críticas podem proteger-se contra ataques cibernéticos. As empresas não seriam, no entanto, obrigadas a cumprir estas recomendações. Também esclarecerá quais agências governamentais participarão dos esforços de segurança cibernética.
Leia a ordem executiva completa aqui.
Alguém acha que isso é ruim?
Na verdade. Grupo de reflexão pró-negócios a Fundação Patrimônio elogia partes do pedido, mas também diz que seu escopo é muito amplo, o que significa que pode envolver negócios que realmente não precisam estar envolvidos (“como a agricultura”). A Heritage também teme que não faça um bom trabalho no aumento da partilha e acredita que isso poderá levar as agências federais a aumentar o seu alcance regulatório.
Os defensores da privacidade, no entanto, acreditam que a ordem executiva estabelece o equilíbrio certo entre maior segurança e proteções para liberdade pessoal, pois só permite o compartilhamento em uma direção: do governo para as empresas – uma distinção fundamental, como veremos mais para frente.
“Dois vivas para os programas de segurança cibernética que podem fazer algo além de espionar os americanos”, escreveu a ACLU.
A maior reclamação diz respeito ao uso de ordens executivas por Obama em geral, que os críticos dizem que contorna os freios e contrapesos do nosso governo. Por mais verdade que isso seja, uma ordem executiva pública é visto por alguns especialistas como melhor do que aquele que é mantido em segredo, como muitos fizeram no passado.
O que a CISPA faz?
Tal como a ordem de segurança cibernética de Obama, o objectivo principal da CISPA é aumentar a partilha de informações sobre ameaças cibernéticas (ou CTI, como os rapazes fixes lhe chamam). Contudo, ao contrário da ordem de Obama, a CISPA permite a partilha de informação em ambas as direcções – do governo para as empresas, e vice-versa. O compartilhamento não é exigido por lei, mas é permitido.
A CISPA também oferece ampla imunidade legal às empresas que coletam e compartilham CTI com o governo federal, desde que o façam. portanto, “de boa fé” – o que pode significar que as empresas não podem ser processadas ou acusadas de crimes por coletar e compartilhar CTI sob a CISPA. Além disso, a CISPA protege o CTI partilhado de mecanismos de transparência, como a Lei de Liberdade de Informação (FOIA).
Leia o texto completo da CISPA aqui: PDF.
Alguém acha que isso é ruim?
Pode apostar. Os defensores da privacidade estão particularmente irritados com este projeto de lei porque temem que ele permita que o governo controle as nossas comunicações privadas; porque não saberemos que informações nossas estão sendo compartilhadas, dizem eles; e porque pode tirar-nos o poder de punir as empresas que recolhem e partilham as informações que têm sobre nós.
“Nossa preocupação desde o primeiro dia foi que essas disposições combinadas de poder e imunidade anulassem as leis de privacidade existentes, como a Lei de Escutas Telefônicas e a Lei de Comunicações Armazenadas”, escreveu a Fundação Fronteira Eletrônica (EFF). “Pior, a lei dá imunidade ‘para decisões tomadas com base no’ CTI. Uma empresa desonesta ou equivocada poderia facilmente tomar ‘decisões’ erradas que fariam muito mais mal do que bem, e não deveria ser imunizada.”
Assim que O retorno da CISPA foi anunciado Na semana passada, vários grupos de liberdades civis centrados na Internet, incluindo Demand Progress, Fight for the Future, EFF, Avaaz, ACLU e Free Press, lançaram petições contra a CISPA. Quinta-feira, Exija Progresso e Lute pelo Futuro entregou mais de 300.000 assinaturas ao Comitê de Inteligência da Câmara em protesto contra a CISPA. E mais de 1 milhão de pessoas assinaram petições anti-CISPA até agora.
Co-patrocinadores da CISPA, Reps. Rogers e Ruppersberger estão fazendo tudo o que podem para conter as preocupações com a CISPA, argumentando que o projeto de lei não se trata de espionar cidadãos, e que o aumento do compartilhamento de CTI entre os setores público e privado é uma maneira óbvia de combater ameaças cibernéticas.
Do lado empresarial, Telecomunicações dos EUA, um grupo lobista de provedores de serviços de Internet; CTIA, o braço de lobby da indústria sem fio; e AT&T todos se manifestaram a favor da CISPA – mas deveríamos esperar muito mais apoio do sector privado. Da última vez, centenas de empresas direta ou indiretamente (através dos seus grupos de lobby) manifestaram apoio ao projeto de lei, incluindo gigantes da tecnologia como Facebook e IBM.
Por que tudo isso está acontecendo agora?
Porque as pessoas do nosso governo estão convencidas de que os ataques cibernéticos são um problema sério e que está cada vez pior. De acordo com um relatório de dezembro do Departamento de Segurança Interna, os ataques cibernéticos a oleodutos e fornecedores de eletricidade aumentou 52 por cento em relação ao ano passado. E a estimativa de inteligência nacional indicado recentemente que os EUA são, como diz o Washington Post, o “alvo de uma campanha massiva e sustentada de ciberespionagem que está a ameaçar a competitividade económica do país”.
Tudo isso vem diante do pano de fundo de hacks sustentados do The New York Times, Wall Street Journal, Washington Post e Bloomberg News por hackers chineses – ataques de alto perfil que colocam as preocupações de segurança cibernética mais firmemente na mente do público.
Recomendações dos Editores
- Todos os novos recursos do Safari no iPadOS 13 que você precisa conhecer