Nem zavart sok vizet, hogy az Egyesült Államok szenátusa a múlt hét kedden nagy többséggel, 74-21 arányban elfogadta a Cybersecurity Information Sharing Actet (kb. kiberbiztonsági információ-megosztásról szóló törvény), amiröviden:
CISA.
Ha a törvényjavaslatot Barack Obama elnök az aláírásával törvényre emeli, akkor onnantól a cégeknek lehetővé teszik, hogy megosszák a kiberbiztonsági adataikat a Belbiztonsági Minisztériummal, ami azokat továbbküldhetné az NSA-nek és az FBI-nak.
Mindez hivatalosan Amerika kiberbiztonságát hivatott növelni, de valójában pont az ellenkezőjét érheti el, és ami még rosszabb: törvényesítené az NSA 2013-ban kirobbant, hazugságra épített, (részben) törvénytelen, titkos adatgyűjtését, legalábbis annak egy részét.
A törvényjavaslat támogatói azzal érvelnek, hogy a CISA szorosabbra venné a kormány és a magáncégek kapcsolatát. Tehát ha egy vállalatot meghackelnek, az továbbíthatná az adatait egészen az FBI-ig és az NSA-ig. Ezek hamar elemeznék, hogy mi történhetett, és gyorsan riadóztatnák a hasonló cégeket, amik részt vesznek ebben az információmegosztó programban. A CNN így dicsérte a rendszert:
„Minden kibertámadás olyan, mint egy influenzavírus, és a CISA célja, hogy egy villámgyors elosztási rendszert hozzon létre a vírus elleni vakcinának. Aki feliratkozik, az nem hónapok, hanem percek alatt megkaphatja a kormányzati oltást.”
A percekből pedig idővel ezredmásodpercek lehetnek.
A gond az, hogy a kormány ezzel nem arra ösztönzi a cégeket, hogy építsék ki a saját biztonsági rendszerüket, és védjék meg maguk az általuk tárolt privát adatokat, hanem hogy a hálózati biztonsági hibák gyors javításainak reményében automatikusan megosszák az érzékeny információkat a kormánnyal.
A CISA teljes szövege szerint a cégeknek mindig tárolniuk kell, milyen adatokat továbbítanak, és jelezniük kell a munkavállalóik felé, ha rájuk vonatkozó adatokat is elküldtek. Ez eddig nagyon szép, csakhogy a törvény értelmében a szövetségi kormánynak jogában áll a programban részt vevő cégek információs rendszereiben azonosítani, és azokból megszerezni adatokat, amikor csak csak úgy érzi, hogy a fenyegetés nyilvánvaló.
Ez elméletileg azt jelenti, hogy a kormánynak még akkor is jogában áll megnézni egy cég munkavállalójának személyes adataitat, ha épp egy másik cég rendszerébe néz bele, és erről nem is kell szólnia.
A törvény zavaros, egymásnak ellentmondó állításai miatt okkal aggódnak az ellenzői. Rand Paul republikánus szenátor és elnökjelöltjelölt – aki a párt libertariánus szárnyának vezetőjeként júniusban megbuktatta a lehallgatásokat engedélyezni hivatott Freedom Actet – a CISA ellen petíciót indított.
Szerinte a CISA egy „úgynevezett számítógépes biztonsági törvény”, ami „tele van homályos fogalmakkal, és olyan új, agresszív kémkedési módszereket biztosít, amik kibelezik az adatvédelmi törvényeket, és lehetővé teszik az internetszolgáltatóknak és a weboldalaknak, hogy a szövetségi kormány bármilyen ügynökségének átadjanak személyes adatokat”.
Elissa Shevinsky, a Jekudo Privacy kiberbiztonsági cég vezetője azt írta, hogy a törvényt eredetileg a szenátus hírszerzési bizottsága erőltette, márpedig a hírszerzés inkább a bűncselekmények üldözését segíti, és nem a technikai infrastruktúrák védelemét.
Ezek az aggályok már mind felmerültek egy hasonló törvényjavaslotnál, a Cyber Intelligence Sharing and Protection Actnél (CISPA), amit 2013-ban a republikánusok nyújtottak be a képviselőházban. Abból ugyan nem lett semmi, miután széleskörű tiltakozás indult ellene, és még a Fehér Ház is elítélte.
A mostani törvényt viszont augusztusban hivatalosan Barack Obama is jóváhagyta, és az ellenzői azt mondják, hogy ha a CISA-t alá fogja írni, akkor nyilvánvalóvá válik, hogy a netsemlegesség védelmével is csak a médiának pózolt.
Az elbukott CISPA és a mostani CISA között egy lényeges különbség van: az elmúlt hónapokban több súlyos kiszivárogtatási botrány is kirobbant (például a Sony-, az Ashley Madison- vagy az OPM-ügy), amik miatt egyre többen rettegnek, hogy a személyes adataik illetéktelen kezekbe kerülnek, így a kormányon is nőtt a nyomás, hogy foglalkozzon a kérdéssel. Vagy legalábbis most már látnak lehetőséget arra, hogy átverjék az elbukott törvényjavaslatot.
A jelek szerint a képviselők nem eléggé értik a számítástechnikát, és veszélyes megoldással álltak elő, az új rendszer ugyanis még kiszolgáltatottabbá teheti az embereket.
A munkavállalók személyes adatait már nem csak a cégük szerverein fogják tárolni, hanem – nem tudni, milyen extra biztosítékokkal, ha egyáltalán lesznek ilyenek – egy nagy közös hálózaton is, amire kormányzati szervek és más cégek rendszerei leszenk rácsatlakoztatva. Márpedig az állam pedig nem a legbiztosabb titokgazda, júniusban például kiderült, hogy 21,5 millió közalkalmazott adatait szerezték meg (valószínűleg kínai) hackerek.
Mostantól viszont nem csak az amerikai közalkalmazottakról lehet szó, hanem – még ha ez az európai jogrendszerrel nincs is teljes összhangban – gyakorlatilag
minden olyan munkavállalóról, aki olyan cégnél dolgozik számítógépen, aminek az anyavállalata amerikai, és részt vesz a programban.
(Európában is hasonló a trend: Theresa May brit belügyminiszter törvényszigorítási javaslata szerint a brit internetszolgáltató vállalatoknak egy évig tárolniuk kellene minden olyan adatot, amiből a terrorelhárító hatóságok nyomon követhetik, hogy a felhasználók milyen online tartalmakhoz fértek hozzá. May szerint a javasolt új törvényváltozat „konszolidálja és korszerűsíti” a megfigyelés szabályozását, és „világszínvonalú” felügyeleti rendszerrel erősíti a hatósági visszaélések elleni biztosítékokat. A belügyminiszter szerint csak az elmúlt 12 hónapban 6 jelentős nagy-britanniai terrortámadást sikerült megelőzni.)
A CISA-t még el kell fogadnia a képviselőháznak is, de ez valószínűleg nem lesz gond, hiszen azon még a nagy felháborodást kiváltó CISPA is átment. Így abban lehet reménykedni, hogy Obama végül nem fogja aláírni. Szép remények. (Vice)
Kommentek
Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.