Come funziona la CISPA

Il Cyber ​​Intelligence Sharing and Protection Act ( CISPA ) è una proposta di legge sulla sicurezza informatica che è stata approvata dalla Camera dei rappresentanti degli Stati Uniti il ​​26 aprile 2012 come HR 3523, ma si è bloccata al Senato nello stesso anno. È tornato nell'elenco del Congresso nel 2013 come HR 624. La CISPA modificherebbe il titolo XI del National Security Act del 1947 aggiungendo una nuova sezione alla fine chiamata "Cyber ​​Threat Intelligence and Information Sharing, Sec. 1104".

L'obiettivo della nuova sezione è consentire e incoraggiare le agenzie del governo federale , le società del settore privato e i servizi pubblici a condividere tra loro informazioni sulle minacce informatiche in modo tempestivo al fine di prevenire interruzioni o danni alle infrastrutture vitali a causa di attacchi al computer sistemi e reti di queste entità. Ma la portata e il linguaggio del disegno di legge si sono rivelati piuttosto controversi.

Per i sostenitori, la legislazione proposta è un mezzo per consentire meglio la condivisione delle informazioni per contrastare rapidamente gli attacchi informatici prima che interrompano servizi critici o danneggino l'economia o la sicurezza nazionale e per consentire alle aziende sia di condividere le informazioni che di adottare misure difensive senza rischio di azioni legali per le loro azioni . Per gli oppositori, è un atto legislativo ampio e vago che consente la condivisione di informazioni personali senza controllo giudiziario, danneggia i diritti alla privacy individuali eludendo le leggi sulla privacy esistenti e potrebbe invitare ad abusi come la sorveglianza governativa delle attività su Internet.

Tutti concordano sul fatto che siamo vulnerabili agli attacchi informatici, potenzialmente da parte di potenze straniere, terroristi , criminali o altri con cattive intenzioni, e che questi attacchi hanno il potenziale per interrompere i servizi essenziali. I disaccordi risiedono nel fatto che questo disegno di legge risolva davvero il problema e se potrebbe fare più male che bene.

Continua a leggere per saperne di più sul tipo di minacce che la CISPA deve affrontare e sul disegno di legge stesso.

1. Da quali tipi di minacce deve proteggersi la CISPA?
2. Storia del disegno di legge
3. Disposizioni chiave della CISPA
4. Perché la CISPA è così controversa?
5. Linguaggio più problematico
6. Sforzi compiuti a sostegno e opposizione alla CISPA
7. Alternative alla CISPA
8. Lo stato attuale delle cose

L'infrastruttura vitale che la CISPA intende proteggere include servizi come elettricità, acqua e fognature, trasporti, comunicazioni, reti finanziarie e agenzie governative. Praticamente ogni azienda e ogni utility, così come lo stesso governo, è almeno parzialmente online in questi giorni, e qualsiasi cosa collegata a Internet, da un computer solitario a una rete enorme, è vulnerabile a un attacco debilitante.

Il disegno di legge non entra nei dettagli sui tipi di attacchi, ma ce ne sono alcuni comuni: attacchi DDOS (Distributed Denial of Service), in cui un gran numero di richieste viene inviato ai server di un'azienda, causando l'interruzione del servizio agli utenti legittimi ; attacchi man-in-the-middle, in cui le comunicazioni da un server all'altro vengono intercettate ed eseguite attraverso il server di un utente malintenzionato per spiare o apportare modifiche dannose; e minacce persistenti avanzate (APT), che sono attacchi mirati a lungo termine a determinate società o altre entità. Gli aggressori possono mirare a installare virus, worm, spyware, trojan e altri malware (software dannoso) sui computer di destinazione per provocare il caos o ottenere accessi non autorizzati.

Ci sono tentativi di intrusione palesi da parte di hacker, come nel film "War Games", in cui il protagonista si è connesso direttamente ai sistemi informatici aziendali e governativi. Gli utenti e gli amministratori di sistema hanno modi per proteggersi dagli attacchi diretti, come firewall software o hardware], software antivirus e antispyware e metodi di accesso migliorati che includono password complicate o autenticazione a più fattori.

Sfortunatamente, molti sistemi vengono violati da aggressori che utilizzano metodi di ingegneria sociale che ingannano le persone inconsapevoli nel fornire informazioni di accesso o installare malware sui propri computer. Il phishing è un metodo comune di ingegneria sociale in cui le e-mail vengono inviate con allegati di file contenenti malware, collegamenti a siti Web che sembrano legittimi ma non lo sono o richieste di informazioni personali. Esiste una versione più mirata di questa truffa chiamata spearphishing , in cui gli aggressori sanno qualcosa sulle loro vittime designate e possono utilizzarlo per rendere l'e-mail legittima.

Anche il software che un utente cerca potrebbe includere malware, come è successo in un recente caso in cui i dipendenti di Apple, Facebook e Microsoft (e presumibilmente altre società) sono caduti preda quando hanno scaricato software infetto da siti di sviluppatori popolari che erano stati violati.

Il software dannoso può infettare un computer o forse un'intera rete di computer e consentire lo spionaggio, l'interruzione o altri imbrogli nefasti. Un computer potrebbe essere dirottato installando qualcosa chiamato bot, un software che esegue determinate attività automaticamente e può consentire a un utente esterno di controllare il computer all'insaputa del proprietario. Questi sono a volte chiamati computer zombie . Esistono reti di queste macchine dirottate chiamate botnet che possono essere utilizzate per lanciare attacchi contro altri.

Ci sono stati altri attacchi notevoli nelle notizie negli ultimi tempi. Secondo un'indagine di una società di sicurezza informatica chiamata Mandiant, hacker in Cina hanno fatto irruzione nella rete del New York Times, apparentemente per spiare l'e-mail di alcuni giornalisti che scrivono di un alto funzionario cinese. Un tentativo simile è stato fatto contro Bloomberg News. Gli attacchi contro altre società sono stati rintracciati anche in Cina, secondo Mandiant [fonte: Bodeen ].

Saudi Aramco, il più grande produttore mondiale di petrolio, è stata attaccata da un virus che ha sostituito i dati su circa 30.000 computer dell'azienda con l'immagine di una bandiera degli Stati Uniti in fiamme, rendendo le macchine inutili. Questi attacchi sono stati ricondotti a un computer che apparentemente non era connesso a Internet, portando a ipotizzare che si trattasse di un lavoro interno.

Gli attacchi informatici possono essere perpetrati da individui che cercano di mettere in mostra le proprie abilità, criminali che cercano di rubare proprietà intellettuale o informazioni finanziarie, gruppi terroristici che mirano a devastare e persino governi a fini di spionaggio o attività militari. A volte si verificano anche violazioni da parte di attivisti o persone che desiderano segnalare potenziali problemi di sicurezza. I costi degli attacchi informatici più malintenzionati possono essere enormi e possono includere la perdita di segreti commerciali e altri dati, il furto finanziario e il costo della pulizia e riparazione di sistemi infetti, tra le altre cose. E i rischi includono anche l'interruzione dei servizi da cui tutti dipendiamo.

Il CISPA originale è stato introdotto come HR 3523 il 30 novembre 2011 dal repubblicano Mike Rogers del Michigan, presidente della House Intelligence Committee, e co-sponsorizzato dal democratico olandese Ruppersberger del Maryland, membro di rango dello stesso comitato, nonché da altri di altri 20 rappresentanti, democratici e repubblicani allo stesso modo. Ha avuto il supporto di molte aziende, comprese le grandi società di telecomunicazioni e tecnologia, ma ha dovuto affrontare molta opposizione da parte dei gruppi per le libertà civili. Il 25 aprile 2012, l'amministrazione del presidente Obama ha persino minacciato che avrebbe posto il veto al disegno di legge per non aver fatto abbastanza per proteggere l'infrastruttura centrale dalle minacce informatiche e non aver protetto la privacy, la riservatezza dei dati e le libertà civili degli individui.

Sono stati proposti più di 40 emendamenti. Diversi emendamenti a favore della privacy sono stati respinti dalla Commissione per le regole della casa il 25 aprile. Un emendamento per consentire all'Agenzia per la sicurezza nazionale (NSA) o al Dipartimento per la sicurezza interna (DHS) un'autorità di sorveglianza aggiuntiva è stato ritirato il 26 aprile. Sono stati approvati alcuni emendamenti , aumentando la fattura originale da 11 a 27 pagine. Questi includevano quanto segue:

La versione modificata di HR 3523 è stata approvata alla Camera dei Rappresentanti degli Stati Uniti il ​​26 aprile 2012 con 248 voti contro 168, ma non ha mai raggiunto un voto al Senato degli Stati Uniti.

La CISPA è stata reintrodotta alla Camera dai senatori Rogers e Ruppersberger nel febbraio 2013 con un numero di fattura diverso, HR 624. È praticamente identico alla versione di HR 3523 approvata alla Camera nel 2012.

La CISPA si concentra interamente sulla condivisione delle informazioni relative alle minacce informatiche tra il governo e le entità private e tra entità private e altre entità private. Prevede disposizioni affinché le agenzie governative condividano informazioni sia non classificate che classificate con società private e servizi di pubblica utilità. Per le informazioni classificate, specifica che i soggetti o le persone che ricevono informazioni devono essere certificati o in possesso di nulla osta di sicurezza e prevede la concessione di nulla osta di sicurezza temporaneo o permanente a persone all'interno di tali entità.

Consente inoltre la condivisione delle informazioni tra entità private e altre entità private, comprese le società di sicurezza informatica assunte da tali società per proteggerle. E prevede che le entità private condividano le informazioni sulle minacce informatiche con il governo federale e specifica che qualsiasi agenzia che riceve tali informazioni deve inviarle al National Cybersecurity and Communications Integration Center del DHS.

La CISPA esenta le informazioni condivise dalla divulgazione ai sensi del Freedom of Information Act e di qualsiasi legge simile emanata dai governi statali, locali e tribali. identificare o ottenere informazioni sulla minaccia informatica o per qualsiasi decisione presa sulla base delle informazioni sulla minaccia informatica, a condizione che agiscano "in buona fede". Un'agenzia governativa , tuttavia, può essere citata in giudizio se "viola intenzionalmente o volontariamente" le regole di divulgazione e utilizzo delle informazioni enunciate nel disegno di legge, con una prescrizione di due anni dalla data della violazione.

Il disegno di legge include limiti su come il governo federale può utilizzare le informazioni condivise con esso. I cinque usi legittimi forniti sono: finalità di sicurezza informatica; indagine e perseguimento di reati di sicurezza informatica; protezione delle persone dalla morte o da gravi lesioni personali; protezione dei minori dalla pedopornografia, dallo sfruttamento sessuale e da altri reati connessi; e protezione della sicurezza nazionale. Al governo è vietato cercare affermativamente le informazioni per qualsiasi scopo diverso dall'indagine e dal perseguimento di crimini di sicurezza informatica, ed è vietato conservare o utilizzare le informazioni per qualsiasi scopo diverso da quelli elencati nella frase precedente. La CISPA limita inoltre in modo specifico al governo l'uso della bibliotecaregistri di circolazione, elenchi di utenti delle biblioteche, registri di vendita di libri, elenchi di clienti di libri, registri di vendita di armi da fuoco, registri delle dichiarazioni dei redditi, registri didattici e cartelle cliniche.

Il disegno di legge afferma che se le informazioni sono condivise con il governo federale che determina non sono correlate alle minacce informatiche, il governo deve notificare all'entità che ha fornito le informazioni.

Il CISPA detta anche procedure e rapporti che devono essere elaborati e diffusi da alcuni enti governativi. Rende volontaria tutta la condivisione delle informazioni da parte di soggetti privati, senza sanzioni per la scelta di non partecipare, e dichiara che il disegno di legge non è un tentativo di dare alcun elemento della comunità dell'intelligence il diritto di dettare gli sforzi di sicurezza informatica di qualsiasi agenzia privata o governativa.

Cybersecurity purposes as defined within the bill include: efforts to protect against vulnerabilities; threats to integrity, confidentiality or availability; efforts to deny access, degrade, disrupt or destroy; and efforts to gain unauthorized access to systems and networks, as well as any information stored on, processed on or moving through them. This explicitly includes unauthorized access to exfiltrate (or remove) information, but excludes unauthorized access that only involves violations of consumer terms of service or licensing agreements. The definitions of cybersecurity systems and cyberthreat intelligence contain similar language.

CISPA has taken a lot of flack for various reasons, including concerns about privacy , transparency, lack of judicial oversight and the possibility of it being used for surveillance of citizens' Internet activities under the guise of cybersecurity, national security and other vaguely defined terms.

One issue is that it uses blanket terms like "cyber threat intelligence" rather than strictly defining the types of data that can be shared, which could potentially allow companies to obtain and share any sort of information, including personally identifying information (PII), private communications and the like. CISPA does allow private entities to insist that the government anonymize, minimize or otherwise restrict the data they share, but it doesn't require the companies to make such restrictions.

In the subsection regarding the federal government's use of the shared information, there is a paragraph that addresses privacy and civil liberties, but it says, "The Federal Government may, consistent with the need to protect Federal systems and critical information infrastructure from cybersecurity threats and to mitigate such threats, undertake reasonable efforts to limit the impact on privacy and civil liberties of the sharing of cyberthreat information with the Federal Government pursuant to this subsection." The use of the word "may" makes it sound voluntary, and there is no further definition of what these efforts might entail. In the section regarding the creation of an annual report on government use of the information, the bill dictates including "metrics to determine the impact, on privacy and civil liberties, if any," but there is no mention of how this information will be used.

The bill provides legal immunity to companies sharing information, even if it turns out they did it improperly, provided they acted in "good faith." It also allows immunity "for decisions made based on cyber threat information," but doesn't define "decisions made." From the companies' point of view, this allows them to freely share cyberthreat information and to act on that information without worrying about costly lawsuits , but it could completely curtail right of an individual or entity to sue for any harm done, since it is difficult to prove that someone didn't act in good faith. It has been argued that this immunity could also allow companies to do things like retaliation hacking of a suspected intruder to gain information or disrupt their systems.

Another controversial aspect of CISPA's wording is the potential it has to supersede a number of privacy laws.

CISPA potentially sidesteps judicial oversight through the term "notwithstanding any other provision of law," which overrides a lot of existing privacy laws, including the Wiretap Act, Cable Communications Act, Video Privacy Protection Act, Stored Communications Act and Electronic Communications Privacy Act -- acts that do provide rules and oversight regarding the sharing of personal information. In the case of CISPA, no warrant is required for the government to obtain personal information.

Even though individuals can sue the government if it willfully misuses their information, it could be very difficult to find out such a thing ever happened. Even if non-cyberthreat information is sent to the government, the government is only required to notify the sending entity, and no one is require to inform the person whose data was shared. And information shared is exempt from disclosure under Freedom of Information Act and other similar disclosure laws. There would have to be some obvious harm that pointed to the sharing, and it would have to be evident within two years of the time the federal government misused the data because of the statute of limitations.

CISPA is also under attack for not defining or limiting what government entities the information can be handed over to, aside from the stipulation that receiving agencies give it to the National Cybersecurity and Communications Integration Center of the DHS, which can share it with other agencies. The information could legally be given to any agency of the federal government, including intelligence agencies. How the government can use the information is defined broadly, as well, including "for cybersecurity purposes," which is somewhat vaguely defined in the bill, and "to protect the national security of the United States," which is fairly broadly defined in the National Security Act.

There is a notable dearth of terms related to technology in the bill. The word "computer" is only used within the definition of "cybersecurity crime" to include computer crimes in the list of possible violations. Otherwise, H.R. 624 refers to the things being protected as "systems and networks," which is somewhat ambiguous. The words and phrases "online," "Internet ," "Web," "digital," "information technology" and even "technology" are never used.

The original version of the bill included theft of intellectual property as one of the cybersecurity purposes. This has been removed from the latest version of CISPA, and language was inserted to specify that cyberthreat information does not include efforts to gain access involving violations of consumer terms of service or licensing agreements. However, some groups still fear that it can be used to pursue things like copyright infringement.

CISPA doesn't provide the legal means for the government to directly monitor people's online activities and digital data, but it does allow companies to voluntarily give undefined types and amounts of information that they deem cyberthreat information to the federal government, and the government can keep and use this data for reasons of cybersecurity, national security and investigation of a few other crimes. This and the fact that it can be given to any agency are causing consternation since this could allow intelligence agencies a sort of sideways access to personal information.

No one is arguing that sharing information on emerging threats isn't important in the fight to secure computer systems and networks from the ever-growing threat of attack, but arguments are being made to place limitations on the types of information shared and with what entities it can be shared. The supporters of CISPA counter that the bill is not intended for surveillance, and that the immunities are necessary to encourage companies to share information without fear of lawsuit. The opponents argue that the risks to privacy and civil liberties are too great in the bill as currently written.

A number of private companies and trade associations have expressed support for CISPA. Many of them sent letters of support to the U.S. House of Representatives for either H.R. 3423, H.R. 624 or both, including AT&T, Verizon, US Telecom, Comcast, Time Warner Cable, the National Cable & Telecommunications Association, Edison Electric Institute, Financial Joint Trades, Financial Services Roundtable, Boeing, Lockheed Martin, IBM, Intel, Oracle, Symantec, Microsoft, Facebook, TechAmerica, the Internet Security Alliance, Juniper Networks, the National Cable & Telecommunications Association and the Chamber of Commerce. Facebook and Microsoft both backed away a little after protests and stated or implied that they would support changes to the final legislation that addressed privacy concerns.

The letters of support include praise for breaking down existing barriers to the timely sharing of cyberthreat intelligence with private entities, not placing regulatory burdens on private companies and protecting them from frivolous lawsuits and legal uncertainty with regards to sharing information, among other things.

But some companies and organizations concerned with privacy and civil liberties have vigorously spoken out against CISPA, including the Electronic Frontier Foundation, the American Civil Liberties Union, Access Now, the American Library Association, the Society of American Archivists, the Cato Institute, the Center for Democracy and Technology, the Entertainment Consumers Association, the Sunlight Foundation, Reporters Without Borders, the Society of Professional Journalists, the Rutherford Institute, the Republican Liberty Caucus, Mozilla and Tech Freedom, among others. Notable individuals who have expressed concerns include former Representative and Presidential candidate Ron Paul, who called the bill "Big Brother writ large," and Tim Berners-Lee, the inventor of the World Wide Web . And of course, there was the President's veto threat.

The EFF and some other opposing groups organized a "Week of Action" in mid-April 2012 to protest CISPA, during which they waged a grassroots campaign asking people to sign petitions, write, call and tweet Congressmen and otherwise express opposition to the bill. Nearly a million people did so the first go round, but despite this activity, CISPA did pass in the House -- albeit with a few changes.

As of early spring of 2013, similar pushes are being made to protest the bill anew. Within a day or so of CISPA being reintroduced in the House, hundreds of thousands of online signatures were reportedly collected and delivered to the U.S. House Intelligence Committee. We likely haven't heard the end of vigorous arguments on both sides of the issue.

Some notable alternatives to CISPA have been put forth, including two bills introduced in the Senate and an Executive Order issued by President Obama.

One of the Senate bills is the Cybersecurity Act (S. 3414) introduced by Senators Joe Lieberman (I-CT), Susan Collins (R-ME) and three other senators. It is a much longer (in excess of 200 pages) and more detailed bill than CISPA that opens up ways for private entities and the federal government to share information related to cyberthreats, puts oversight of sharing in the purview of the DHS and also allows for setting up cybersecurity guidelines to be followed on a voluntary basis, but with incentives for compliance by private entities. It creates the National Cybersecurity Council (NCC) to be made up of representatives from multiple agencies (both civilian and military) to coordinate with the private sector to assess computer system vulnerabilities and come up with the guidelines.

The Cybersecurity Act was amended to include more protections to privacy and civil liberties, including a guarantee that only civilian (non-military) organizations have access to shared cyberthreat information and an exemption of first-amendment protected activities from being identified as categories of critical cyber infrastructure . It also doesn't include national security as one of the possible uses of shared cybersecurity information, but it does let the federal government use the information for the other three reasons allowed under CISPA.

A rival bill introduced by Senator John McCain (R-AZ) and several co-sponsoring senators is called the Strengthening and Enhancing Cybersecurity by Using Research, Education, Information, and Technology Act (SECURE IT Act, S. 3342). It is also a heftier bill than CISPA, coming in at more than 100 pages. It would facilitate information sharing between multiple government agencies and private entities on cyberthreats, strengthen criminal penalties related to cybercrimes, foster networking and information technology research and development and sharing of research, and would allow the Department of Commerce, Department of Homeland Security, and the National Security Agency (NSA) to coordinate on policies regarding cybersecurity efforts. It has faced many of the same criticisms as CISPA, including that it has an overbroad definition of cyberthreat information, places few limits on the types of information that can be shared and how it can be used (including cybersecurity purposes, national security purposes and a whole host of criminal prevention, investigation and prosecution purposes), similar "notwithstanding any other provision of law" language and oversight issues, such as the removal of lawsuit liability from companies and the shared information being exempt from the Freedom of Information Act. It is also criticized for putting a non-civilian entity (the NSA) in charge of information sharing.

As of early 2013, neither Senate bill passed, but in the wake of CISPA's resurrection in the House, President Obama issued an Executive Order (EO) that covers some of the ground of the proposed cybersecurity bills, including timely sharing of information on cyberthreats from the federal government to critical infrastructure entities and companies that provide cybersecurity services. It does not enable any new sharing of information in the other direction (from private companies to public entities). It takes an existing Defense Industrial Base (DIB) information sharing program called the Enhanced Cybersecurity Services program, which was put in place to allow the Department of Defense (DoD) and the DHS to share non-classified cybersecurity information with defense contractors and the like, and expands it by allowing it to cover the other government agencies and critical infrastructure sectors. Like CISPA, the EO addresses creating an avenue for critical infrastructure personnel to gain security clearance for the sharing of classified information. It charges the National Institute of Standards and Technology (NIST) and others to work collaboratively with industry experts to create a cybersecurity practices framework to help reduce cyberthreat risks to infrastructure, and calls on the DHS to develop incentives to promote adoption of the framework.

The EO also calls for the Chief Privacy Officer and Officer for Civil Rights and Civil Liberties of the DHS to assess privacy and civil liberties risks and make recommendations on how to minimize and mitigate those risks. They are to use the Fair Information Practice Principles (FIPP) and other related policies to evaluate cybersecurity activities to this end, and their assessments are to be made available to the public.

Since CISPA is under consideration once more, no rival cybersecurity bills have passed yet and cyberthreats appear to be on the rise, the debate on how best to handle cybersecurity, especially sharing of information from private industry to government, is far from over. But perhaps all the rousing debates and calls to action will help whatever laws are ultimately passed to best straddle the line between too much and too little sharing while providing real protections.

Author's Note: How CISPA Works

Being an IT worker, a writer and a heavy Internet user, I'm concerned about the security of our computers and networks. Lord knows I don't want my data stolen, or a cyberattack to take down the Internet or cut the power. How would I watch an entire season of "Downton Abbey" on Netflix while simultaneously writing an essay, checking e-mail and surfing the net for Grumpy Cat pictures?

But I'm equally concerned about privacy. The less of my data flowing out to people I never intended to look at it, the better. There is no telling how the NSA would interpret one of my short stories.

Reading through these bills and thinking about what could possibly go wrong due to wording issues was pretty fascinating. I'm sure that the drafters of all such legislation are by and large well-meaning people trying to proactively snuff out security threats. But "well-meaning" means about as much as "good faith" in legal terms. Not everyone on the planet has good intentions, as we are reminded daily by the news, and anything that can be used for ill or even just misguided purposes probably will be at some point. So I hope that whatever bill passes is extremely well-thought-out and vetted by industry, civil liberty and legal experts alike. Keep the Internet safe for Grumpy Cat.

Related Articles

Sources