Wie CISPA funktioniert

Der Cyber ​​Intelligence Sharing and Protection Act ( CISPA ) ist ein Gesetzentwurf zur Cybersicherheit, der am 26. April 2012 als HR 3523 vom US-Repräsentantenhaus verabschiedet wurde, aber im Laufe des Jahres im Senat ins Stocken geriet. Es kehrte 2013 als HR 624 in die Liste des Kongresses zurück. CISPA würde Titel XI des National Security Act von 1947 ändern, indem am Ende ein neuer Abschnitt mit der Bezeichnung „Cyber ​​Threat Intelligence and Information Sharing, Sec. 1104“ hinzugefügt wurde.

Ziel des neuen Abschnitts ist es, Behörden der Bundesregierung , privatwirtschaftliche Unternehmen und Versorgungsunternehmen zu ermöglichen und zu ermutigen, Informationen über Cyberbedrohungen zeitnah miteinander auszutauschen, um Störungen oder Schäden an lebenswichtiger Infrastruktur durch Angriffe auf den Computer zu verhindern Systeme und Netzwerke dieser Einheiten. Aber der Umfang und die Sprache des Gesetzentwurfs haben sich als ziemlich umstritten erwiesen.

Für die Befürworter ist die vorgeschlagene Gesetzgebung ein Mittel, um den Informationsaustausch besser zu ermöglichen, um Cyberangriffen schnell entgegenzuwirken, bevor sie kritische Dienste stören oder die Wirtschaft oder die nationale Sicherheit schädigen, und um es Unternehmen zu ermöglichen, sowohl Informationen auszutauschen als auch Abwehrmaßnahmen zu ergreifen, ohne das Risiko von Klagen für ihre Handlungen . Für die Gegner ist es ein zu weit gefasster und vager Gesetzestext, der die Weitergabe personenbezogener Daten ohne gerichtliche Aufsicht erlaubt, die Persönlichkeitsrechte des Einzelnen verletzt, indem er bestehende Datenschutzgesetze umgeht, und zu Missbrauch wie der staatlichen Überwachung von Internetaktivitäten einladen könnte.

Alle sind sich einig, dass wir anfällig für Cyberangriffe sind, möglicherweise von ausländischen Mächten, Terroristen , Kriminellen oder anderen mit bösen Absichten, und dass diese Angriffe das Potenzial haben, wesentliche Dienste zu stören. Die Meinungsverschiedenheiten liegen darin, ob dieser Gesetzentwurf das Problem wirklich löst und ob er mehr schaden als nützen könnte.

Lesen Sie weiter, um mehr über die Arten von Bedrohungen zu erfahren, denen CISPA begegnen soll, und den Gesetzentwurf selbst.

1. Vor welchen Arten von Bedrohungen soll CISPA schützen?
2. Geschichte des Gesetzentwurfs
3. Schlüsselbestimmungen des CISPA
4. Warum ist CISPA so umstritten?
5. Mehr problematische Sprache
6. Bemühungen zur Unterstützung und Ablehnung von CISPA
7. Alternativen zu CISPA
8. Der aktuelle Stand der Dinge

Die lebenswichtige Infrastruktur, die CISPA schützen will, umfasst Dienstleistungen wie Energie, Wasser und Abwasser, Transport, Kommunikation, Finanznetze und Regierungsbehörden. Nahezu jedes Unternehmen und jeder Energieversorger sowie die Regierung selbst sind heutzutage zumindest teilweise online, und alles, was mit dem Internet verbunden ist, von einem einzelnen Computer bis zu einem riesigen Netzwerk, ist anfällig für einen schwächenden Angriff.

Der Gesetzentwurf geht nicht näher auf die Arten von Angriffen ein, aber es gibt einige gängige: Distributed Denial of Service (DDOS)-Angriffe, bei denen eine große Anzahl von Anfragen an die Server eines Unternehmens gesendet werden, was zu einer Unterbrechung des Dienstes für legitime Benutzer führt ; Man-in-the-Middle-Angriffe, bei denen die Kommunikation von einem Server zum anderen abgefangen und über den Server eines Angreifers geleitet wird, um ihn auszuspionieren oder schädliche Änderungen vorzunehmen; und Advanced Persistent Threats (APT), bei denen es sich um langfristige gezielte Angriffe auf bestimmte Unternehmen oder andere Einheiten handelt. Angreifer können darauf abzielen, Viren, Würmer, Spyware, Trojaner und andere Malware (bösartige Software) auf Zielcomputern zu installieren, um Chaos anzurichten oder unbefugten Zugriff zu erlangen.

Es gibt offene Einbruchsversuche von Hackern, ähnlich wie im Film „War Games“, wo sich der Protagonist direkt in die Computersysteme von Unternehmen und Behörden einwählte. Benutzer und Systemadministratoren haben Möglichkeiten, sich vor direkten Angriffen zu schützen, wie z. B. Software- oder Hardware-Firewalls], Antiviren- und Anti-Spyware-Software und verbesserte Anmeldemethoden, die Dinge wie komplizierte Passwörter oder Multi-Faktor-Authentifizierung beinhalten.

Leider werden viele Systeme von Angreifern angegriffen, die Social-Engineering-Methoden verwenden, die unwissende Personen dazu verleiten, Anmeldeinformationen bereitzustellen oder Malware auf ihren eigenen Computern zu installieren. Phishing ist eine gängige Social-Engineering-Methode, bei der E-Mails mit Dateianhängen versendet werden, die Malware, Links zu Websites, die legitim aussehen, es aber nicht sind, oder Anfragen nach persönlichen Informationen geben. Es gibt eine gezieltere Version dieses Betrugs namens Spearphishing , bei der die Angreifer etwas über ihre beabsichtigten Opfer wissen und dies verwenden können, um die E-Mail legitim erscheinen zu lassen.

Sogar die Software, nach der ein Benutzer selbst sucht, kann Malware enthalten, wie in einem kürzlichen Fall, in dem Mitarbeiter von Apple, Facebook und Microsoft (und vermutlich anderen Unternehmen) Opfer wurden, als sie infizierte Software von beliebten Entwicklerseiten herunterluden, die gehackt worden waren.

Bösartige Software kann einen Computer oder möglicherweise ein ganzes Computernetzwerk infizieren und Spionage, Störungen oder andere schändliche Spielereien ermöglichen. Ein Computer kann entführt werden, indem ein sogenannter Bot installiert wird – eine Software, die bestimmte Aufgaben automatisch ausführt und es einem externen Benutzer ermöglichen kann, den Computer ohne Wissen des Eigentümers zu steuern. Diese werden manchmal als Zombie-Computer bezeichnet . Es gibt Netzwerke dieser gekaperten Maschinen, sogenannte Botnets, die verwendet werden können, um Angriffe gegen andere zu starten.

There have been other notable attacks in the news of late. According to an investigation by a cybersecurity company called Mandiant, hackers in China broke into the New York Times network, apparently to spy on the e-mail of certain reporters writing about a high ranking Chinese official. A similar attempt was made against Bloomberg News. Attacks against other companies have also been traced to China, according to Mandiant [source: Bodeen].

Saudi Aramco, the world's largest oil producer, was attacked with a virus that replaced data on around 30,000 computers in the company with a picture of a burning U.S. flag, rendering the machines useless. These attacks were traced to a computer that was apparently not connected to the Internet, leading to speculation that it was an inside job.

Cyberattacks can be perpetrated by individuals seeking to show off their skills, criminals looking to steal intellectual property or financial information, terrorist groups aiming to wreak havoc and even governments for purposes of espionage or military activities. There are also sometimes breaches by activists or people who wish to point out potential security issues.The costs of the more ill-intentioned cyberattacks can be enormous and can include loss of trade secrets and other data, financial theft and the cost of clean-up and repair of infected systems, among other things. And the risks also include disruption of services that we all depend upon.

The original CISPA was introduced as H.R. 3523 on Nov. 30, 2011 by Republican Mike Rogers of Michigan, chairman of the House Intelligence Committee, and co-sponsored by Democrat Dutch Ruppersberger of Maryland, ranking member of the same committee, as well as more than 20 other representatives, Democrat and Republican alike. It had the support of a lot of companies, including large telecommunications and tech companies, but faced a lot of opposition from civil liberties groups. On April 25, 2012, President Obama's administration even threatened that he would veto the bill for not doing enough to protect core infrastructure from cyberthreats and failing to protect the privacy, data confidentiality and civil liberties of individuals.

More than 40 amendments were proposed. Several pro-privacy amendments were rejected by the House Rules Committee on April 25. One amendment to allow the National Security Agency (NSA) or the Department of Homeland Security (DHS) additional surveillance authority was withdrawn on April 26. A few amendments were passed, increasing the original bill from 11 pages to 27 pages. These included the following:

The amended version of H.R. 3523 passed in the U.S. House of Representatives on April 26, 2012 by 248 to 168 votes, but never reached a vote in the U.S. Senate.

CISPA was reintroduced in the house by Senators Rogers and Ruppersberger in February 2013 under a different bill number, H.R. 624. It is virtually identical to the version of H.R. 3523 that passed the House in 2012.

CISPA concentrates entirely on sharing cyberthreat-related information between the government and private entities, and between private entities and other private entities. It makes provisions for government agencies to share both unclassified and classified information with private companies and utilities. For classified information, it specifies that the entities or individuals receiving information must be certified or have security clearance, and makes provisions for granting temporary or permanent security clearance to individuals within these entities.

It also allows for information sharing between private entities and other private entities, including cybersecurity firms hired by those companies to protect them. And it makes provisions for private entities to share information about cyberthreats with the federal government, and specifies that any agency receiving such information is to send it to National Cybersecurity and Communications Integration Center of the DHS.

CISPA exempts shared information from disclosure under the Freedom of Information Act and any similar laws enacted by state, local and tribal governments.The bill exempts companies (and cybersecurity firms hired to protect their systems) from lawsuits for sharing information, for using cybersecurity systems to identify or obtain cyberthreat information or for any decisions they make based on the cyberthreat information, provided they are acting "in good faith." A government agency , however, can be sued if it "intentionally or willfully violates" the information disclosure and use rules spelled out in the bill, with a statute of limitations of two years from the date of violation.

The bill includes limits on how the federal government may use the information shared with it. The five legitimate uses given are: cybersecurity purposes; investigation and prosecution of cybersecurity crimes; protection of individuals from death or serious bodily harm; protection of minors from child pornography, sexual exploitation and other related crimes; and protection of national security. The government is restricted from affirmatively searching the information for any purpose other than investigation and prosecution of cybersecurity crimes, and is restricted from retaining or using the information for any purpose other than the ones listed in the previous sentence. CISPA also specifically restricts the government from using library circulation records, library patron lists, book sales records, book customer lists, firearm sales records, tax return records, educational records and medical records.

The bill states that if information is shared with the federal government that it determines is not related to cyberthreats, the government must notify the entity that provided the information.

CISPA also dictates procedures and reports that must be developed and released by certain government entities.It makes all information sharing from private entities voluntary, with no penalties for choosing not to participate, and makes a statement that the bill is not an attempt to give any element of the intelligence community the right to dictate the cybersecurity efforts of any private or government agencies.

Cybersecurity purposes as defined within the bill include: efforts to protect against vulnerabilities; threats to integrity, confidentiality or availability; efforts to deny access, degrade, disrupt or destroy; and efforts to gain unauthorized access to systems and networks, as well as any information stored on, processed on or moving through them. This explicitly includes unauthorized access to exfiltrate (or remove) information, but excludes unauthorized access that only involves violations of consumer terms of service or licensing agreements. The definitions of cybersecurity systems and cyberthreat intelligence contain similar language.

CISPA has taken a lot of flack for various reasons, including concerns about privacy , transparency, lack of judicial oversight and the possibility of it being used for surveillance of citizens' Internet activities under the guise of cybersecurity, national security and other vaguely defined terms.

One issue is that it uses blanket terms like "cyber threat intelligence" rather than strictly defining the types of data that can be shared, which could potentially allow companies to obtain and share any sort of information, including personally identifying information (PII), private communications and the like. CISPA does allow private entities to insist that the government anonymize, minimize or otherwise restrict the data they share, but it doesn't require the companies to make such restrictions.

In the subsection regarding the federal government's use of the shared information, there is a paragraph that addresses privacy and civil liberties, but it says, "The Federal Government may, consistent with the need to protect Federal systems and critical information infrastructure from cybersecurity threats and to mitigate such threats, undertake reasonable efforts to limit the impact on privacy and civil liberties of the sharing of cyberthreat information with the Federal Government pursuant to this subsection." The use of the word "may" makes it sound voluntary, and there is no further definition of what these efforts might entail. In the section regarding the creation of an annual report on government use of the information, the bill dictates including "metrics to determine the impact, on privacy and civil liberties, if any," but there is no mention of how this information will be used.

Der Gesetzentwurf gewährt Unternehmen, die Informationen austauschen, rechtliche Immunität, selbst wenn sich herausstellt, dass sie dies nicht ordnungsgemäß getan haben, vorausgesetzt, sie haben in „gutem Glauben“ gehandelt. Es ermöglicht auch Immunität „für Entscheidungen, die auf der Grundlage von Cyber-Bedrohungsinformationen getroffen werden“, definiert aber nicht „getroffene Entscheidungen“. Aus der Sicht der Unternehmen ermöglicht dies ihnen, Informationen über Cyberbedrohungen frei auszutauschen und auf diese Informationen zu reagieren, ohne sich Gedanken über kostspielige Gerichtsverfahren machen zu müssen , aber es könnte das Recht einer Einzelperson oder eines Unternehmens, für erlittenen Schaden zu klagen, vollständig einschränken, da dies schwierig ist um zu beweisen, dass jemand nicht in gutem Glauben gehandelt hat. Es wurde argumentiert, dass diese Immunität es Unternehmen auch ermöglichen könnte, Dinge wie Vergeltungsangriffe auf einen mutmaßlichen Eindringling durchzuführen, um Informationen zu erhalten oder ihre Systeme zu stören.

Ein weiterer umstrittener Aspekt des Wortlauts von CISPA ist das Potenzial, eine Reihe von Datenschutzgesetzen zu ersetzen.

CISPA umgeht möglicherweise die gerichtliche Aufsicht durch den Begriff "ungeachtet aller anderen gesetzlichen Bestimmungen", der viele bestehende Datenschutzgesetze außer Kraft setzt, einschließlich des Abhörgesetzes, des Kabelkommunikationsgesetzes, des Video-Datenschutzgesetzes, des Gesetzes über gespeicherte Kommunikation und des Datenschutzgesetzes für elektronische Kommunikation -- Gesetze, die Regeln und Aufsicht in Bezug auf die Weitergabe personenbezogener Daten vorsehen. Im Fall von CISPA ist keine Anordnung erforderlich, damit die Regierung personenbezogene Daten erhält.

Auch wenn Einzelpersonen die Regierung verklagen können, wenn sie ihre Informationen vorsätzlich missbraucht, könnte es sehr schwierig sein, herauszufinden, ob so etwas jemals passiert ist. Selbst wenn Informationen, die keine Cyber-Bedrohungen sind, an die Regierung gesendet werden, muss die Regierung nur die sendende Stelle benachrichtigen, und niemand muss die Person informieren, deren Daten weitergegeben wurden. Und weitergegebene Informationen sind von der Offenlegung gemäß dem Freedom of Information Act und anderen ähnlichen Offenlegungsgesetzen ausgenommen. Es müsste ein offensichtlicher Schaden vorliegen, der auf die Weitergabe hindeutet, und dieser müsste aufgrund der Verjährungsfrist innerhalb von zwei Jahren nach dem Zeitpunkt, zu dem die Bundesregierung die Daten missbraucht hat, offensichtlich sein.

CISPA wird auch angegriffen, weil es nicht definiert oder beschränkt, an welche Regierungsbehörden die Informationen übergeben werden können, abgesehen von der Bestimmung, dass die empfangenden Stellen sie an das National Cybersecurity and Communications Integration Center des DHS weitergeben, das sie mit anderen Behörden teilen kann. Die Informationen könnten legal an jede Behörde der Bundesregierung weitergegeben werden, einschließlich Geheimdienste. Wie die Regierung die Informationen verwenden kann, ist ebenfalls weit gefasst, einschließlich „für Cybersicherheitszwecke“, was im Gesetzentwurf etwas vage definiert ist, und „zum Schutz der nationalen Sicherheit der Vereinigten Staaten“, was im Gesetzesentwurf ziemlich weit gefasst ist Nationales Sicherheitsgesetz.

Es gibt einen bemerkenswerten Mangel an technologiebezogenen Begriffen in dem Gesetzentwurf. Das Wort „Computer“ wird nur innerhalb der Definition von „Cybersicherheitskriminalität“ verwendet, um Computerkriminalität in die Liste möglicher Verstöße aufzunehmen. Ansonsten bezeichnet HR 624 die zu schützenden Dinge als „Systeme und Netzwerke“, was etwas mehrdeutig ist. Die Wörter und Ausdrücke „online“, „ Internet “, „Web“, „digital“, „Informationstechnologie“ und sogar „Technologie“ werden niemals verwendet.

Die ursprüngliche Version des Gesetzentwurfs beinhaltete den Diebstahl von geistigem Eigentum als einen der Zwecke der Cybersicherheit. Dies wurde aus der neuesten Version von CISPA entfernt, und es wurde eine Formulierung eingefügt, um zu präzisieren, dass Informationen über Cyberbedrohungen keine Versuche beinhalten, sich Zugang zu verschaffen, die Verstöße gegen die Nutzungsbedingungen oder Lizenzvereinbarungen für Verbraucher beinhalten. Einige Gruppen befürchten jedoch immer noch, dass es verwendet werden kann, um Dinge wie Urheberrechtsverletzungen zu verfolgen .

CISPA bietet der Regierung nicht die rechtlichen Mittel, um die Online-Aktivitäten und digitalen Daten von Personen direkt zu überwachen, aber es ermöglicht Unternehmen, freiwillig undefinierte Arten und Mengen von Informationen an die Bundesregierung weiterzugeben, die sie als Informationen über Cyberbedrohungen betrachten, und die Regierung behalten kann und diese Daten aus Gründen der Cybersicherheit, der nationalen Sicherheit und der Untersuchung einiger anderer Verbrechen verwenden. Dies und die Tatsache, dass es an jede Behörde weitergegeben werden kann, sorgt für Besorgnis, da dies Geheimdiensten eine Art seitlichen Zugriff auf persönliche Informationen ermöglichen könnte.

Niemand argumentiert, dass der Austausch von Informationen über neue Bedrohungen im Kampf um den Schutz von Computersystemen und Netzwerken vor der ständig wachsenden Bedrohung durch Angriffe nicht wichtig ist, aber es werden Argumente dafür vorgebracht, die Art der gemeinsam genutzten Informationen und mit welchen Entitäten einzuschränken es kann geteilt werden. Die Befürworter von CISPA entgegnen, dass der Gesetzentwurf nicht zur Überwachung gedacht sei und dass die Immunitäten notwendig seien, um Unternehmen zu ermutigen, Informationen ohne Angst vor Gerichtsverfahren auszutauschen. Die Gegner argumentieren, dass die Risiken für die Privatsphäre und die bürgerlichen Freiheiten in dem Gesetzentwurf, wie er derzeit verfasst ist, zu groß seien.

Eine Reihe privater Unternehmen und Handelsverbände haben ihre Unterstützung für CISPA zum Ausdruck gebracht. Viele von ihnen schickten Unterstützungsschreiben an das US-Repräsentantenhaus für HR 3423, HR 624 oder beide, darunter AT&T, Verizon, US Telecom, Comcast, Time Warner Cable, die National Cable & Telecommunications Association, Edison Electric Institute, Financial Joint Trades, Financial Services Roundtable, Boeing, Lockheed Martin, IBM, Intel, Oracle, Symantec, Microsoft, Facebook, TechAmerica, die Internet Security Alliance, Juniper Networks, die National Cable & Telecommunications Association und die Handelskammer. Facebook und Microsoft wichen beide nach Protesten ein wenig zurück und erklärten oder deuteten an, dass sie Änderungen der endgültigen Gesetzgebung unterstützen würden, die sich mit Datenschutzbedenken befassten.

Die Unterstützungsschreiben beinhalten unter anderem Lob dafür, dass bestehende Hindernisse für den zeitnahen Austausch von Informationen über Cyberbedrohungen mit privaten Unternehmen abgebaut, private Unternehmen nicht mit regulatorischen Belastungen belegt und sie vor leichtfertigen Klagen und Rechtsunsicherheit in Bezug auf den Informationsaustausch geschützt werden.

Aber einige Unternehmen und Organisationen, die sich mit Datenschutz und bürgerlichen Freiheiten befassen, haben sich energisch gegen CISPA ausgesprochen, darunter die Electronic Frontier Foundation, die American Civil Liberties Union, Access Now, die American Library Association, die Society of American Archivists, das Cato Institute, das Center für Demokratie und Technologie, die Entertainment Consumers Association, die Sunlight Foundation, Reporter ohne Grenzen, die Society of Professional Journalists, das Rutherford Institute, das Republican Liberty Caucus, Mozilla und Tech Freedom, unter anderem. Bemerkenswerte Personen, die Bedenken geäußert haben, sind der ehemalige Repräsentant und Präsidentschaftskandidat Ron Paul, der die Gesetzesvorlage „Big Brother Writ Large“ nannte, und Tim Berners-Lee, der Erfinder des World Wide Web. Und natürlich gab es die Vetodrohung des Präsidenten.

Die EFF und einige andere gegnerische Gruppen organisierten Mitte April 2012 eine „Aktionswoche“, um gegen CISPA zu protestieren, während der sie eine Basiskampagne durchführten, in der sie die Menschen aufforderten, Petitionen zu unterschreiben, Kongressabgeordnete zu schreiben, anzurufen und zu twittern und sich anderweitig gegen das Gesetz auszusprechen. Nahezu eine Million Menschen taten dies bei der ersten Runde, aber trotz dieser Aktivität wurde CISPA im Repräsentantenhaus verabschiedet – wenn auch mit einigen Änderungen.

Ab Frühjahr 2013 werden ähnliche Vorstöße unternommen, um erneut gegen das Gesetz zu protestieren. Berichten zufolge wurden innerhalb eines Tages nach der Wiedereinführung von CISPA im Repräsentantenhaus Hunderttausende von Online-Unterschriften gesammelt und dem Geheimdienstausschuss des US-Repräsentantenhauses zugestellt. Wir haben wahrscheinlich noch nicht das Ende heftiger Argumente auf beiden Seiten des Problems gehört.

Einige bemerkenswerte Alternativen zum CISPA wurden vorgestellt, darunter zwei im Senat eingebrachte Gesetzentwürfe und eine von Präsident Obama erlassene Durchführungsverordnung .

Eine der Gesetzesvorlagen des Senats ist der Cybersecurity Act (S. 3414), der von den Senatoren Joe Lieberman (I-CT), Susan Collins (R-ME) und drei weiteren Senatoren eingebracht wurde. Es ist ein viel längerer (über 200 Seiten) und detaillierterer Gesetzentwurf als CISPA, der Möglichkeiten für private Unternehmen und die Bundesregierung eröffnet, Informationen im Zusammenhang mit Cyberbedrohungen auszutauschen, die Aufsicht über den Austausch in den Zuständigkeitsbereich des DHS legt und auch ermöglicht Festlegung von Richtlinien zur Cybersicherheit, die auf freiwilliger Basis zu befolgen sind, jedoch mit Anreizen für die Einhaltung durch private Einrichtungen. Es schafft den National Cybersecurity Council (NCC), der sich aus Vertretern mehrerer Behörden (sowohl ziviler als auch militärischer) zusammensetzt, um sich mit dem Privatsektor abzustimmen, um Schwachstellen von Computersystemen zu bewerten und Richtlinien zu erstellen.

The Cybersecurity Act was amended to include more protections to privacy and civil liberties, including a guarantee that only civilian (non-military) organizations have access to shared cyberthreat information and an exemption of first-amendment protected activities from being identified as categories of critical cyber infrastructure . It also doesn't include national security as one of the possible uses of shared cybersecurity information, but it does let the federal government use the information for the other three reasons allowed under CISPA.

A rival bill introduced by Senator John McCain (R-AZ) and several co-sponsoring senators is called the Strengthening and Enhancing Cybersecurity by Using Research, Education, Information, and Technology Act (SECURE IT Act, S. 3342). It is also a heftier bill than CISPA, coming in at more than 100 pages. It would facilitate information sharing between multiple government agencies and private entities on cyberthreats, strengthen criminal penalties related to cybercrimes, foster networking and information technology research and development and sharing of research, and would allow the Department of Commerce, Department of Homeland Security, and the National Security Agency (NSA) to coordinate on policies regarding cybersecurity efforts. It has faced many of the same criticisms as CISPA, including that it has an overbroad definition of cyberthreat information, places few limits on the types of information that can be shared and how it can be used (including cybersecurity purposes, national security purposes and a whole host of criminal prevention, investigation and prosecution purposes), similar "notwithstanding any other provision of law" language and oversight issues, such as the removal of lawsuit liability from companies and the shared information being exempt from the Freedom of Information Act. It is also criticized for putting a non-civilian entity (the NSA) in charge of information sharing.

As of early 2013, neither Senate bill passed, but in the wake of CISPA's resurrection in the House, President Obama issued an Executive Order (EO) that covers some of the ground of the proposed cybersecurity bills, including timely sharing of information on cyberthreats from the federal government to critical infrastructure entities and companies that provide cybersecurity services. It does not enable any new sharing of information in the other direction (from private companies to public entities). It takes an existing Defense Industrial Base (DIB) information sharing program called the Enhanced Cybersecurity Services program, which was put in place to allow the Department of Defense (DoD) and the DHS to share non-classified cybersecurity information with defense contractors and the like, and expands it by allowing it to cover the other government agencies and critical infrastructure sectors. Like CISPA, the EO addresses creating an avenue for critical infrastructure personnel to gain security clearance for the sharing of classified information. It charges the National Institute of Standards and Technology (NIST) and others to work collaboratively with industry experts to create a cybersecurity practices framework to help reduce cyberthreat risks to infrastructure, and calls on the DHS to develop incentives to promote adoption of the framework.

The EO also calls for the Chief Privacy Officer and Officer for Civil Rights and Civil Liberties of the DHS to assess privacy and civil liberties risks and make recommendations on how to minimize and mitigate those risks. They are to use the Fair Information Practice Principles (FIPP) and other related policies to evaluate cybersecurity activities to this end, and their assessments are to be made available to the public.

Since CISPA is under consideration once more, no rival cybersecurity bills have passed yet and cyberthreats appear to be on the rise, the debate on how best to handle cybersecurity, especially sharing of information from private industry to government, is far from over. But perhaps all the rousing debates and calls to action will help whatever laws are ultimately passed to best straddle the line between too much and too little sharing while providing real protections.

Author's Note: How CISPA Works

Being an IT worker, a writer and a heavy Internet user, I'm concerned about the security of our computers and networks. Lord knows I don't want my data stolen, or a cyberattack to take down the Internet or cut the power. How would I watch an entire season of "Downton Abbey" on Netflix while simultaneously writing an essay, checking e-mail and surfing the net for Grumpy Cat pictures?

But I'm equally concerned about privacy. The less of my data flowing out to people I never intended to look at it, the better. There is no telling how the NSA would interpret one of my short stories.

Reading through these bills and thinking about what could possibly go wrong due to wording issues was pretty fascinating. I'm sure that the drafters of all such legislation are by and large well-meaning people trying to proactively snuff out security threats. But "well-meaning" means about as much as "good faith" in legal terms. Not everyone on the planet has good intentions, as we are reminded daily by the news, and anything that can be used for ill or even just misguided purposes probably will be at some point. So I hope that whatever bill passes is extremely well-thought-out and vetted by industry, civil liberty and legal experts alike. Keep the Internet safe for Grumpy Cat.

Related Articles

Sources