Nem zavart sok vizet, hogy az Egyesült Államok szenátusa a múlt hét kedden nagy többséggel, 74-21 arányban elfogadta a Cybersecurity Information Sharing Actet (kb. kiberbiztonsági információ-megosztásról szóló törvény), amiröviden:

CISA.

Ha a törvényjavaslatot Barack Obama elnök az aláírásával törvényre emeli, akkor onnantól a cégeknek lehetővé teszik, hogy megosszák a kiberbiztonsági adataikat a Belbiztonsági Minisztériummal, ami azokat továbbküldhetné az NSA-nek és az FBI-nak.

Mindez hivatalosan Amerika kiberbiztonságát hivatott növelni, de valójában pont az ellenkezőjét érheti el, és ami még rosszabb: törvényesítené az NSA 2013-ban kirobbant, hazugságra épített, (részben) törvénytelen, titkos adatgyűjtését, legalábbis annak egy részét.

Aki beszáll, azt megvédik

A törvényjavaslat támogatói azzal érvelnek, hogy a CISA szorosabbra venné a kormány és a magáncégek kapcsolatát. Tehát ha egy vállalatot meghackelnek, az továbbíthatná az adatait egészen az FBI-ig és az NSA-ig. Ezek hamar elemeznék, hogy mi történhetett, és gyorsan riadóztatnák a hasonló cégeket, amik részt vesznek ebben az információmegosztó programban. A CNN így dicsérte a rendszert:

„Minden kibertámadás olyan, mint egy influenzavírus, és a CISA célja, hogy egy villámgyors elosztási rendszert hozzon létre a vírus elleni vakcinának. Aki feliratkozik, az nem hónapok, hanem percek alatt megkaphatja a kormányzati oltást.”

A percekből pedig idővel ezredmásodpercek lehetnek.

Pont azt teszik, amitől félnek

A gond az, hogy a kormány ezzel nem arra ösztönzi a cégeket, hogy építsék ki a saját biztonsági rendszerüket, és védjék meg maguk az általuk tárolt privát adatokat, hanem hogy a hálózati biztonsági hibák gyors javításainak reményében automatikusan megosszák az érzékeny információkat a kormánnyal.

A CISA teljes szövege szerint a cégeknek mindig tárolniuk kell, milyen adatokat továbbítanak, és jelezniük kell a munkavállalóik felé, ha rájuk vonatkozó adatokat is elküldtek. Ez eddig nagyon szép, csakhogy a törvény értelmében a szövetségi kormánynak jogában áll a programban részt vevő cégek információs rendszereiben azonosítani, és azokból megszerezni adatokat, amikor csak csak úgy érzi, hogy a fenyegetés nyilvánvaló.

Ez elméletileg azt jelenti, hogy a kormánynak még akkor is jogában áll megnézni egy cég munkavállalójának személyes adataitat, ha épp egy másik cég rendszerébe néz bele, és erről nem is kell szólnia.

Félkiberdiktatúra

A törvény zavaros, egymásnak ellentmondó állításai miatt okkal aggódnak az ellenzői. Rand Paul republikánus szenátor és elnökjelöltjelölt – aki a párt libertariánus szárnyának vezetőjeként júniusban megbuktatta a lehallgatásokat engedélyezni hivatott Freedom Actet – a CISA ellen petíciót indított.

Szerinte a CISA egy „úgynevezett számítógépes biztonsági törvény”, ami „tele van homályos fogalmakkal, és olyan új, agresszív kémkedési módszereket biztosít, amik kibelezik az adatvédelmi törvényeket, és lehetővé teszik az internetszolgáltatóknak és a weboldalaknak, hogy a szövetségi kormány bármilyen ügynökségének átadjanak személyes adatokat”.

Elissa Shevinsky, a Jekudo Privacy kiberbiztonsági cég vezetője azt írta, hogy a törvényt eredetileg a szenátus hírszerzési bizottsága erőltette, márpedig a hírszerzés inkább a bűncselekmények üldözését segíti, és nem a technikai infrastruktúrák védelemét.

A pánik miatt lehet még nagyobb baj

Ezek az aggályok már mind felmerültek egy hasonló törvényjavaslotnál, a Cyber Intelligence Sharing and Protection Actnél (CISPA), amit 2013-ban a republikánusok nyújtottak be a képviselőházban. Abból ugyan nem lett semmi, miután széleskörű tiltakozás indult ellene, és még a Fehér Ház is elítélte.

A mostani törvényt viszont augusztusban hivatalosan Barack Obama is jóváhagyta, és az ellenzői azt mondják, hogy ha a CISA-t alá fogja írni, akkor nyilvánvalóvá válik, hogy a netsemlegesség védelmével is csak a médiának pózolt.

Az elbukott CISPA és a mostani CISA között egy lényeges különbség van: az elmúlt hónapokban több súlyos kiszivárogtatási botrány is kirobbant (például a Sony-, az Ashley Madison- vagy az OPM-ügy), amik miatt egyre többen rettegnek, hogy a személyes adataik illetéktelen kezekbe kerülnek, így a kormányon is nőtt a nyomás, hogy foglalkozzon a kérdéssel. Vagy legalábbis most már látnak lehetőséget arra, hogy átverjék az elbukott törvényjavaslatot.

Veled is megtörténhet

A jelek szerint a képviselők nem eléggé értik a számítástechnikát, és veszélyes megoldással álltak elő, az új rendszer ugyanis még kiszolgáltatottabbá teheti az embereket.

A munkavállalók személyes adatait már nem csak a cégük szerverein fogják tárolni, hanem – nem tudni, milyen extra biztosítékokkal, ha egyáltalán lesznek ilyenek – egy nagy közös hálózaton is, amire kormányzati szervek és más cégek rendszerei leszenk rácsatlakoztatva. Márpedig az állam pedig nem a legbiztosabb titokgazda, júniusban például kiderült, hogy 21,5 millió közalkalmazott adatait szerezték meg (valószínűleg kínai) hackerek.

Mostantól viszont nem csak az amerikai közalkalmazottakról lehet szó, hanem – még ha ez az európai jogrendszerrel nincs is teljes összhangban – gyakorlatilag

minden olyan munkavállalóról, aki olyan cégnél dolgozik számítógépen, aminek az anyavállalata amerikai, és részt vesz a programban.

(Európában is hasonló a trend: Theresa May brit belügyminiszter törvényszigorítási javaslata szerint a brit internetszolgáltató vállalatoknak egy évig tárolniuk kellene minden olyan adatot, amiből a terrorelhárító hatóságok nyomon követhetik, hogy a felhasználók milyen online tartalmakhoz fértek hozzá. May szerint a javasolt új törvényváltozat „konszolidálja és korszerűsíti” a megfigyelés szabályozását, és „világszínvonalú” felügyeleti rendszerrel erősíti a hatósági visszaélések elleni biztosítékokat. A belügyminiszter szerint csak az elmúlt 12 hónapban 6 jelentős nagy-britanniai terrortámadást sikerült megelőzni.)

A CISA-t még el kell fogadnia a képviselőháznak is, de ez valószínűleg nem lesz gond, hiszen azon még a nagy felháborodást kiváltó CISPA is átment. Így abban lehet reménykedni, hogy Obama végül nem fogja aláírni. Szép remények. (Vice)