CISPA le dă voie companiilor să atace internetul

Foto de Lindsey Turner

Legea de Colaborare şi Protecţie în domeniul Cyber-Securităţii (CISPA) a trecut de Camera Reprezentanţilor a Congresului SUA cu 288 de voturi pentru şi 127 împotrivă. Propunerea legislativă se îndreaptă spre Senat, unde sperăm să pice. Preşedintele Obama a spus că se opune CISPA şi ameninţă că-şi va folosi dreptul de veto ca să blocheze moţiunea, dacă i se pare că încalcă libertatea cetăţenilor.

Deci măcar de asta ne putem bucura. Pe partea tehnică, fondatorul Reddit, Alexi Ohanian continuă campania sa împotriva CISPA. Oamenii de rând sunt prea ocupaţi cu spectacolul de la Maratonul din Boston, ca să se gândească la intimitatea lor în mediul online. Nu încerc să diminuez acea tragedue oribilă, dar americanii ar trebui să fie un pic mai atenţi la dezbaterea unei legi care îi va afecta mult în viitor.

Sub legea CISPA marile corporaţii vor putea să se lupte agresiv cu ceea ce e definit vag sub numele de „ameninţări ale cyber-securităţii.” Reprezentantul Jim Langevin a avut bunul simţ să adauge un amendament la CISPA prin care să limiteze măsurile pe care le pot lua companiile doar la reţelele lor interne. Totuşi limbajul din excepţiile de la lege anulează tot amendamentul. Companiile au posibilitatea de a acţiona în afara reţelei lor cu imunitate.  Traducere: e ilegal să spargi un site ca un act de protest (vezi Anonymous), dar e perfect legal s-o faci, dacă reprezinţi o corporaţie.

Acest lucru mai implică că nici companiile, nici statul nu sunt oblihate să dovedească cine a comis cyber-infracţiunea. Imunitatea asta ar putea duce la un fel de vendetă eternă a internetului.

L-am întrebat pe Mark Jaycox de la Fundaţia Frontierei Electronice, dacă el crede că CISPA va crea un sistem legalizat în care fiecare va lua legea în mâinile sale.

Mark Jaycox: „E exagerat să spui că vor lua legea în mâinile lor. Amendamentul impune companiilor nişte limite pentru atunci când acţionează în afara reţelei lor ca să adune informaţii despre ameninţă la securitatea lor. Totuşi el ignoră o altă parte a moţiunii, care permite o gamă largă de acţiuni ca ripostă la ceea ce compania percepe ca ameninţare.”

Aici e problema. Ceea ce percepe compania ca o ameninţare poate fi orice – fiecare lucru care le inspiră lor un potenţial pericol.

Jaycox arată că imunitatea CISPA acoperă orice „decizii luate” pe baza informaţiilor deţinute de o companie, atât timp cât acea corporaţie acţionează cu „bună credinţă.” Un limbaj relativ clar, dar care ne aruncă în nebuloasa a definiţiei legale a bunei credinţe. El crede că acest lucru crează o portiţă-ne lege pentru companii.

Jaycox: „O companie ar putea să ia contramăsuri agresive în afara reţelei sale atât timp cât ea credea că acele măsuri erau necesare pentru a se apăra.Acest punct ar fi putut fi rezolvat dacă limita imunitatea largă de care s-ar bucura companiile. Dar nu s-a vrut asta. Aşa că amendamentul tot lasă loc pentru abuzuri. Singura măsură de luptă a unui utilizator de net ar fi să dovedească că acea companie nu s-a purtat „cu bună credinţă,” ceea ce e notoriu de dificil.

Limbajul cu imunitate şi „bună credinţă” apare în Secţiunea 3 Schimbul de Informaţii în cazul Ameninţărilor Cybernetice, sub numele de Scutire de Vinovăţie (citeşte moţiunea aici):

 (A) SCUTIRE – Nu se pot aduce acuzaţii penale sau civile într-un tribunal local sau federal împotriva unei entităţi protejate, unei entităţi auto-protejate sau a unui provider de cyber-securitate, care a acţionat cu bună credinţă--

 (i) folosind sisteme de cyber-securitate pentru a identifica sau a obţine informaţii despre ameninţă cybernetice sau pentru a transmite aceste informaţii în conformitate cu această secţiune; sau

 (ii) luând decizii din raţiuni de cyber-securitate şi bazându-se pe informaţii despre ameninţări cybernetice, identificate, obţinute sau împărtăşite conform acestei secţiuni.

 (B) FĂRĂ BUNĂ CREDINŢĂ – Din raţiuni de scutire de responsabilitate sub subparagraful (A), lipsa de bună credinţă implică orice act sau omisiune săvârşită cu intenţia de a face rău, frauda sau pune în pericol orice individ, entitate guvernamentală, privată sau utilitate.

Amendamentul ar fi trebuit să taie tot limbajul ăsta de imunitate sporită. Chiar dacă Senatul respinge CISPA (cum a făcut în 2012), însăşi existenţa a acestei secţiuni trebuie adresată şi înfierată public. Aici nu e vorba de nişte smiorcăieli din partea unor „mucoşi de 14 ani, care postează din beci,” după cum a descris sponsorul moţiuni, Reprezentatul Mike Rogers, forţele de opoziţie. CISPA le oferă companiilor mai multă putere decât ar trebui să aibă.

 Greg Nojeim, directorul Proiectului pentru Libertate, Securitate şi Tehnologie, a declarat alaltăieri că  prevederea imunităţii „ameninţă viaţa particulară şi nu e necesară pentru cyber-securitate. Moţiunea le permite companiilor să urmeze o politică de cyber-securitate neglijentă şi periculoasă prin care vor putea provoca daune altora şi le oferă protecţie împotriva plângerilor civile şi penale.” Adică, dacă un utilizator de net e atacat de o companie conform „operaţiunilor de cyber-securitate,” acesta nu are cum să-i atace legal în instanţă sau să ceară daune. „Dă-te-n mă-ta” pare să fie principiul de operare aici.

Dar într-o ţară în care corporaţiile au fost aduse la statutul legal de fiinţe umane, se mai miră cineva că există astfel de portiţe? Să nu credeţi că s-au trezit peste noapte creatorii CISPA cu ideea „hei, ce-ar fi să prevedem imunitate pentru companii.” Corporaţiile probabil au făcut lobby pentru această scutire.

De fapt, soţia Reprezentantului Rogers, Kristi Clemens Rogers, tocmai şi-a părăsit postul de director al Aegis LLC, o companie care beneficiază de aprobarea moţiunii CISPA. Aegis LLC este o companie de securitate, care „oferă statului şi altor clienţi privaţi un spectru larg de soluţii de spionaj şi soluţii sensibile la cultura cu care operează în faţa problemelor operaţionale şi de dezvoltare din jurul lumii.” Ei bine, cred că e mai uşor să faci lobby când eşti măritată cu arhitectul unei moţiuni controversate.

Până şi Reprezentantul Rogers are unele rezervări faţă de măsurile ofensive din sectorul privat.

La o conferinţă despre cyber-securitate de la Universitatea George Washington Rogers a spus: „Vă voi garanta că se vor face multe greşeli. Mă îngrijorează ideea că sectorul privat va demara acţiuni ofensive…pentru că multe nereguli se vor petrece în această situaţie.” Mersi, Mike!

Text: DJ Pangburn

Traducere: Mihai Popescu