К вящему разочарованию многих: ИТ-компаний, защитников права на приватность и гражданских активистов, — Сенат США проголосовал за принятие текущей редакции законопроекта «Об обмене информацией в области кибербезопасности» (Cybersecurity Information Sharing Act, CISA). Этот закон, по мнению многих, позволит правительству углубить методы онлайн-слежки за гражданами.

В глазах поборников права на защиту частной жизни под действие данного закона, принятого 74 членами Сената (против проголосовал 21 сенатор), попадают настолько многочисленные сценарии обмена данными, что права пользователей на неприкосновенность частной жизни могут быть нарушены.

Закон предполагает обеспечение более тесного сотрудничества между различными компаниями в плане обмена информацией о кибератаках, а также предоставление данных правительственным структурам. Очевидно, принятие закона призвано остановить поток массовых взломов, случившихся с начала года, в результате которых были скомпрометированы такие организации, как Anthem, Sony Pictures, JP Morgan Chase и OPM. Тем не менее размытость формулировок и гибкость трактовки различных понятий в области кибербезопасности заставляют многих думать, что закон в первую очередь упрощает процесс обмена данными о пользователях между различными компаниями и снимает с последних ответственность за разглашение пользовательских данных. После того как информация от компаний попадает в министерство национальной безопасности, последнее имеет право передать ее дальше — в ФБР и АНБ.

Формулировки билля планируется несколько уточнить в ходе совместной работы палаты представителей и Сената, но эксперты настроены скептично и считают, что внесенные изменения не помогут решить главные проблемы в области кибербезопасности, в том числе слабое шифрование, а также низкий уровень осведомленности о реалиях информационной безопасности среди госслужащих.

Хотя администрация Обамы надавила на законотворцев, пытающихся принять похожий билль — CISPA — в 2012 году, закон CISA уже получил добро от Белого дома.

Организация EFF (Electronic Frontier Foundation), критикующая билль еще с момента его внесения на обсуждение в верхнюю палату в марте, выразила разочарование исходом голосования.

«Принятие билля CISA отражает непонимание языка безопасности и ИБ-технологий законодателями, — заявил аналитик EFF Марк Джейкокс (Mark Jaycox). — В то время как происходят такие масштабные инциденты, как взломы T-mobile, Target и OPM, Конгрессу следует принимать эффективные меры в области кибербезопасности, но конгрессмены выбрали неправильный путь. EFF продолжит бороться против принятия билля, требуя от комитета учесть понятия приватности в формулировках».

По словам Джейкокса, слабая сторона законопроекта — отсутствие любых отсылок к вопросам приватности.

Когда компании делятся данными, которые сторонники билля называют «индикаторами киберугрозы», или информацией, потенциально имеющей отношение к кибератаке, это обеспечивает правительству возможность получить доступ к данным пользователей, что потенциально может нарушить право на приватность.

На прошлой неделе двое членов Сената, лоббирующие принятие билля, опубликовали подробные сведения о законопроекте, которые были призваны развеять беспокойство защитников права на приватность и разрушить мифы о новом законе. Сенаторы заверили, что закон «помогает защитить право граждан на приватность, так как обмен информацией сможет предотвратить кибератаки и утечки».

Хотя многие оппоненты указали на то, что билль практически дает правительству карт-бланш на осуществление слежки за гражданами, сенаторы подчеркнули, что обмен информацией в соответствии с новым законом абсолютно доброволен и компании не обязаны участвовать в процессе обмена данными о киберугрозах.

«CISA предлагает платформу для совместной работы и обмена информацией в области кибербезопасности, чтобы наилучшим образом защитить право граждан на частную жизнь. Это будет возможно, если частные и публичные компании будут иметь разрешение на некоторые действия, которые помогут защитить от атак предприятия и государственные организации», — пишут сенаторы.

Один из сенаторов от Демократической партии — Рон Уайден (Ron Wyden) жестко раскритиковал «несовершенный» билль и саму идею слежки со стороны государства.

«Борьба за права американцев на защиту персональных и приватных данных только началась, — сказал Уайден. — Сегодняшнее голосование по биллю — это первый шаг на пути к более длительным дебатам насчет того, как США могут лучше защитить себя от киберугроз».

Уайден, ярый противник методов АНБ, в прошлом голосовал за принятие законов, ограничивающих вмешательство государства в частную жизнь граждан. Он считает, что в текущей редакции закон развязывает руки ФБР и АНБ и дает им возможность беспрепятственно следить за американцами.

«Как показало сегодняшнее голосование, часть Сената верит в то, что персональные данные граждан не должны передаваться в руки правительства вместе с информацией о кибератаках. Я и мои коллеги продолжат работать над тем, чтобы обеспечить более высокую степень защиты частной информации», — заявил Уайден.

Уайден и ряд других сенаторов попытались представить четыре поправки к биллю, чтобы обеспечить более жесткое соблюдение требований к обеспечению приватности, но все они приняты не были.

Если бы поправки Уайдена были приняты, то персональная информация о пользователях была исключена из данных, передаваемых компаниями правительству. Кроме того, в билле было бы пересмотрено определение информации, которой делятся компании.

Следующий шаг — обсуждение законопроекта членами верхней и нижней палат. Им придется прийти к общему мнению, и только тогда билль будет принят и превратится в закон.

Категории: Кибероборона