Сенат США рассматривает законопроект, который позволит частным организациям обмениваться информацией об уязвимостях с любым госучреждением. Однако, по мнению представителей министерства внутренней безопасности (Department of Homeland Security, DHS), подобный законопроект является весьма противоречивым, когда дело касается конфиденциальности, а его принятие приведет к снижению эффективности работы федерального правительства.

Закон «Об обмене данными об информационной безопасности» (Cybersecurity Information Sharing Act, CISA) позволит частным компаниям и другим организациям обмениваться данными об уязвимостях и индикаторами угроз с госучреждениями. Федеральное правительство США поддерживает обширную программу по обмену информацией, координируемую усилиями Национального центра интеграции коммуникаций и информационной безопасности (NCCIC) при министерстве внутренней безопасности. Некоторые из этих данных передаются и небольшому числу частных организаций.

Законопроект CISA призван не только мотивировать компании передавать свои данные об уязвимостях на портал министерства внутренней безопасности, но и позволить им обмениваться подобной информацией с любым госучреждением во всех случаях, когда подобное не противоречит другим законам. В письме, отправленном представителями министерства внутренней безопасности сенатору от штата Миннесота Элу Франкену (Al Franken), говорится, что законопроект может вызвать существенные проблемы по части конфиденциальности.

«Согласно предложению президента об обмене данными об информационной безопасности от января 2015 года, все индикаторы угроз, передаваемые федеральному правительству, должны проходить через NCCIC, организацию, не являющуюся правоохранительным органом или спецслужбой. Если, согласно законопроекту CISA, частным организациям будет позволено обмениваться информацией напрямую с правоохранительными органами или спецслужбами, то это может вызвать возмущение у групп, борющихся за соблюдение гражданских свобод и конфиденциальности, — говорится в письме Алехандро Н. Майоркаса (Alejandro N. Mayorkas) из министерства внутренней безопасности. — Разрешение обмениваться индикаторами угроз и защитными мерами «с любой другой организацией или органом федерального правительства, если при этом не нарушаются существующие законы», может позволить обойти существующие положения о защите конфиденциальности, в частности закон «О сохраняемых сообщениях» (Stored Communications Act), ограничивающий раскрытие информации, передаваемой через электронные средства связи. (Подобные опасения не кажутся беспочвенными, особенно если принять во внимание достаточно растяжимые понятия индикаторов угроз и защитных мер, представленные в законопроекте. В отличие от предложения, сделанного президентом, законопроект сената содержит фразу «любой другой атрибут угрозы информационной безопасности» в понятии индикатора угрозы и позволяет организациям принимать защитные меры для ее устранения.)»

Это письмо является ответом на письмо, написанное сенатору Франкену главой министерства внутренней безопасности Джеем Джонсоном (Jeh Johnson), в котором также говорится, что подобные попытки обмениваться информацией приведут к снижению эффективности работы федерального правительства.

«Стоит отметить, что обмен индикаторами угроз через несколько госучреждений вместо одного приведет к снижению эффективности подобной программы обмена данными; создавать единую понятную картину угроз информационной безопасности станет гораздо сложнее, — говорится в письме. — Итогом будет неспособность министерства внутренней безопасности оперативно реагировать на угрозы и способствовать своевременному принятию адекватных защитных мер, призванных снизить ущерб от киберпреступлений».

Франкен, противник принятия этого законопроекта, заявил, что потенциальные проблемы с нарушением конфиденциальности слишком велики, чтобы позволить принять подобный закон.

«Я считаю, что все граждане Америки имеют фундаментальное право на конфиденциальность. Его соблюдение особенно важно сейчас, в свете появления новых технологий, попирающих наши законы, — заявил Франкен. — В письме министерства внутренней безопасности ясно говорится, что, если сенат примет этот закон, есть риск, что он позволит игнорировать существующие положения о гражданских свободах и конфиденциальности. К тому же обмениваться информацией об угрозах станет гораздо сложнее, что приведет к неспособности обеспечивать должный уровень информационной безопасности на национальном уровне».

Категории: Кибероборона