Закон об обмене и защите разведданных в киберпространстве (CISPA) вернулся в реестр Конгресса в 2013 году как H.R. 624. CISPA внесет поправки в раздел XI Закона о национальной безопасности 1947 года, добавив в конец новый раздел под названием "Разведка киберугроз и обмен информацией, раздел 1104".

Цель нового раздела - позволить и побудить агентства федерального правительства, компании частного сектора и коммунальные службы своевременно обмениваться друг с другом разведданными о киберугрозах, чтобы предотвратить сбои или нанести ущерб жизненно важной инфраструктуре из-за атак на компьютерные системы и сети этих организаций. Но сфера охвата и формулировки законопроекта оказались довольно противоречивыми. https://limonsu.ru/

Для сторонников предлагаемый закон является средством улучшения обмена информацией для быстрого противодействия кибератакам, прежде чем они нарушат работу критически важных служб или нанесут ущерб экономике или национальной безопасности, и позволят компаниям как обмениваться информацией, так и принимать защитные меры без риска судебных исков за свои действия. По мнению оппонентов, это чрезмерно широкий и расплывчатый законодательный акт, который позволяет обмениваться личной информацией без судебного надзора, ущемляет права личности на неприкосновенность частной жизни в обход существующих законов о неприкосновенности частной жизни и может привести к злоупотреблениям, таким как государственный надзор за деятельностью в Интернете.

Все согласны с тем, что мы уязвимы для кибератак, потенциально со стороны иностранных держав, террористов, преступников или других лиц с дурными намерениями, и что эти атаки потенциально могут нарушить работу основных служб. Разногласия заключаются в том, действительно ли этот законопроект решает проблему и может ли он принести больше вреда, чем пользы.

Читайте дальше, чтобы узнать больше о видах угроз, на которые направлена CISPA, и о самом законопроекте.

От каких угроз предназначен CISPA для защиты?

Жизненно важная инфраструктура, которую CISPA стремится защищать, включает в себя такие услуги, как электроснабжение, водоснабжение и канализация, транспорт, коммуникации, финансовые сети и правительственные учреждения. В наши дни практически каждая компания и каждое коммунальное предприятие, а также само правительство, по крайней мере частично подключены к сети, и все, что подключено к Интернету, от одинокого компьютера до огромной сети, уязвимо для изнурительной атаки.

В законопроекте не рассматриваются подробно типы атак, но есть несколько распространенных из них: распределенные атаки типа "отказ в обслуживании" (DDOS), при которых на серверы компании отправляется большое количество запросов, что приводит к перебоям в обслуживании законных пользователей; атаки типа "человек посередине", при которых сообщения с одного сервера на другой перехватываются и проходят через сервер злоумышленника для слежки или внесения вредоносных изменений; и расширенные постоянные угрозы (APT), которые представляют собой долгосрочные целевые атаки на определенные компании или другие организации. Злоумышленники могут стремиться установить вирусы, червей, шпионские программы, троянские программы и другое вредоносное ПО на целевые компьютеры, чтобы нанести ущерб или получить несанкционированный доступ.

Хакеры предпринимают явные попытки вторжения, как в фильме "Военные игры", где главный герой подключается прямо к компьютерным системам компаний и правительств. У пользователей и системных администраторов есть способы защиты от прямых атак, такие как программные или аппаратные брандмауэры, антивирусное и антишпионское программное обеспечение и улучшенные методы входа, которые включают такие вещи, как сложные пароли или многофакторная аутентификация.

К сожалению, многие системы взламываются злоумышленниками, которые используют методы социальной инженерии, которые обманом заставляют ничего не подозревающих пользователей предоставлять регистрационную информацию или устанавливать вредоносное ПО на свои собственные компьютеры. Фишинг - это распространенный метод социальной инженерии, при котором рассылаются электронные письма с вложенными файлами, содержащими вредоносное ПО, ссылки на веб-сайты, которые выглядят законными, но таковыми не являются, или запросы на личную информацию. Существует более целенаправленная версия этой аферы, называемая подводной охотой, когда злоумышленники что-то знают о своих предполагаемых жертвах и могут использовать это, чтобы придать электронной почте легитимный вид.

Даже программное обеспечение, которое пользователь ищет сам, может содержать вредоносное ПО, как это произошло в недавнем случае, когда сотрудники Apple, Facebook и Microsoft (и, предположительно, других компаний) стали жертвами загрузки зараженного программного обеспечения с популярных сайтов разработчиков, которые были взломаны.

Вредоносное программное обеспечение может заразить компьютер или, возможно, целую сеть компьютеров и позволить осуществлять шпионаж, нарушение работы или другие гнусные махинации. Компьютер может быть взломан путем установки так называемого бота - программного обеспечения, которое автоматически выполняет определенные задачи и может позволить внешнему пользователю управлять компьютером без ведома владельца. Их иногда называют компьютерами-зомби. Существуют сети таких захваченных машин, называемые ботнетами, которые могут использоваться для запуска атак против других.

В новостях за последнее время были и другие заметные атаки. Согласно расследованию, проведенному компанией по кибербезопасности Mandiant, хакеры в Китае взломали сеть New York Times, очевидно, чтобы шпионить за электронной почтой некоторых репортеров, пишущих о высокопоставленном китайском чиновнике. Аналогичная попытка была предпринята против Bloomberg News. Атаки на другие компании также были прослежены в Китае, согласно Mandiant.

Saudi Aramco, крупнейший в мире производитель нефти, был атакован вирусом, который заменил данные примерно на 30 000 компьютерах компании изображением горящего флага США, сделав машины бесполезными. Эти атаки были прослежены до компьютера, который, по-видимому, не был подключен к Интернету, что привело к предположению, что это была внутренняя работа.

Кибератаки могут быть совершены отдельными лицами, стремящимися продемонстрировать свои навыки, преступниками, стремящимися украсть интеллектуальную собственность или финансовую информацию, террористическими группами, стремящимися посеять хаос, и даже правительствами в целях шпионажа или военной деятельности. Также иногда происходят нарушения со стороны активистов или людей, которые хотят указать на потенциальные проблемы безопасности.Затраты на более злонамеренные кибератаки могут быть огромными и могут включать, среди прочего, потерю коммерческой тайны и других данных, кражу финансовых средств и стоимость очистки и ремонта зараженных систем. И риски также включают в себя нарушение работы сервисов, от которых мы все зависим.

История законопроекта

Оригинальный CISPA был представлен как H.R. 3523 30 ноября 2011 года республиканцем Майком Роджерсом из Мичигана, председателем Комитета Палаты представителей по разведке, и совместно спонсировался демократом Датчем Рупперсбергером из Мэриленда, высокопоставленным членом того же комитета, а также более чем 20 другими представителями, как демократами, так и республиканцами. Она получила поддержку многих компаний, включая крупные телекоммуникационные и технологические компании, но столкнулась с большим противодействием со стороны групп по защите гражданских свобод. 25 апреля 2012 года администрация президента Обамы даже пригрозила, что он наложит вето на законопроект за то, что он недостаточно сделал для защиты базовой инфраструктуры от киберугроз и не защитил частную жизнь, конфиденциальность данных и гражданские свободы отдельных лиц.

Было предложено более 40 поправок. 25 апреля Комитет Палаты представителей по правилам отклонил несколько поправок, касающихся конфиденциальности. Одна поправка, предоставляющая Агентству национальной безопасности (АНБ) или Министерству внутренней безопасности (DHS) дополнительные полномочия по наблюдению, была отозвана 26 апреля. Было принято несколько поправок, увеличивающих первоначальный законопроект с 11 страниц до 27. К ним относятся следующие:

Поправка о минимизации хранения и уведомлении, которая добавила положения об уведомлении организаций, отправивших данные, которые, по мнению правительства, не связаны с киберугрозами, ограничения на использование данных и заявление, в котором упоминаются возможные усилия по ограничению воздействия на частную жизнь и гражданские свободы.
Поправка к определениям, которая добавила или изменила определения терминов "доступность", "конфиденциальность", "информация о киберугрозах", "разведданные о киберугрозах", "цель кибербезопасности", "система кибербезопасности" и "целостность".
Поправка об ответственности, которая изменила формулировку раздела, освобождающего частные организации от ответственности за обмен информацией, включив в него идентификацию или получение информации о киберугрозах.
Ограничительная поправка, которая включила раздел, в котором говорится, что ничто в законопроекте не предоставит дополнительных полномочий или не изменит существующие полномочия организации использовать систему кибербезопасности, принадлежащую федеральному правительству, в системе или сети частного сектора.
Поправка об использовании, которая добавляет формулировку, описывающую разрешенное использование информации о киберугрозах, которой делятся с правительством.
Также было добавлено положение о прекращении действия законопроекта, срок действия которого истекает через пять лет после его принятия.
Исправленная версия H.R. 3523 была принята в Палате представителей США 26 апреля 2012 года 248 голосами против 168, но так и не дошла до голосования в Сенате США.

CISPA был вновь внесен в палату сенаторами Роджерсом и Рупперсбергером в феврале 2013 года под другим номером законопроекта, H.R. 624. Он практически идентичен версии H.R. 3523, которая поступила в продажу в 2012 году.

Ключевые положения CISPA

CISPA определяет, что в Национальный центр кибербезопасности и интеграции коммуникаций Министерства внутренней безопасности должна пересылаться любая информация о киберугрозах, которую федеральное правительство получает от частных организаций.
© ЭНДРЮ ЛИХТЕНШТЕЙН/CORBIS
CISPA полностью концентрируется на обмене информацией, связанной с киберугрозами, между правительством и частными организациями, а также между частными организациями и другими частными организациями. Она предусматривает, что правительственные учреждения могут делиться как несекретной, так и секретной информацией с частными компаниями и коммунальными службами. Что касается секретной информации, то в нем указывается, что организации или отдельные лица, получающие информацию, должны быть сертифицированы или иметь допуск к секретной информации, и содержатся положения о предоставлении временного или постоянного допуска к секретной информации физическим лицам из этих организаций.

Это также позволяет обмениваться информацией между частными организациями и другими частными организациями, включая фирмы по кибербезопасности, нанятые этими компаниями для их защиты. И это предусматривает, что частные организации могут делиться информацией о киберугрозах с федеральным правительством, и указывает, что любое агентство, получающее такую информацию, должно отправлять ее в Национальный центр кибербезопасности и интеграции коммуникаций DHS.

CISPA освобождает общую информацию от разглашения в соответствии с Законом о свободе информации и любыми аналогичными законами, принятыми правительствами штатов, местными органами власти и правительствами племен.Законопроект освобождает компании (и фирмы по кибербезопасности, нанятые для защиты своих систем) от судебных исков за обмен информацией, за использование систем кибербезопасности для идентификации или получения информации о киберугрозах или за любые решения, которые они принимают на основе информации о киберугрозах, при условии, что они действуют "добросовестно". Однако на государственное учреждение может быть подан иск, если оно "намеренно нарушает" правила раскрытия и использования информации, изложенные в законопроекте, со сроком давности в два года с даты нарушения.

Законопроект включает ограничения на то, как федеральное правительство может использовать предоставленную ему информацию. Пять приведенных законных применений: в целях кибербезопасности; расследование и судебное преследование преступлений в области кибербезопасности; защита отдельных лиц от смерти или серьезных телесных повреждений; защита несовершеннолетних от детской порнографии, сексуальной эксплуатации и других связанных с ними преступлений; и защита национальной безопасности. Правительству запрещено подтверждать поиск информации для любых целей, кроме расследования и судебного преследования преступлений в области кибербезопасности, и запрещено сохранять или использовать информацию для любых целей, отличных от перечисленных в предыдущем предложении. CISPA также конкретно ограничивает правительство в использовании записей о тиражах библиотек, списков посетителей библиотек, записей о продажах книг, списков покупателей книг, записей о продажах огнестрельного оружия, записей налоговых деклараций, записей об образовании и медицинских записей.

В законопроекте говорится, что если федеральному правительству передается информация, которая, по его мнению, не связана с киберугрозами, правительство должно уведомить организацию, предоставившую информацию.

CISPA также диктует процедуры и отчеты, которые должны разрабатываться и публиковаться определенными государственными структурами.Он делает весь обмен информацией от частных организаций добровольным, без каких-либо наказаний за отказ от участия, и делает заявление о том, что законопроект не является попыткой предоставить какому-либо элементу разведывательного сообщества право диктовать усилия по обеспечению кибербезопасности любых частных или правительственных учреждений.

Цели кибербезопасности, определенные в законопроекте, включают: усилия по защите от уязвимостей; угроз целостности, конфиденциальности или доступности; усилия по отказу в доступе, ухудшению качества, нарушению работы или уничтожению; и усилия по получению несанкционированного доступа к системам и сетям, а также к любой информации, хранящейся, обрабатываемой в них или перемещающейся через них. Это явно включает несанкционированный доступ к извлечению (или удалению) информации, но исключает несанкционированный доступ, который связан только с нарушениями условий обслуживания потребителей или лицензионных соглашений. Определения систем кибербезопасности и разведки киберугроз содержат схожие формулировки.

Почему CISPA вызывает такие споры?
CISPA сильно пострадала по разным причинам, включая опасения по поводу конфиденциальности, прозрачности, отсутствия судебного надзора и возможности ее использования для наблюдения за интернет-активностью граждан под предлогом кибербезопасности, национальной безопасности и других расплывчатых терминов.

Одна из проблем заключается в том, что в нем используются общие термины, такие как "информация о киберугрозах", вместо строгого определения типов данных, которыми можно делиться, что потенциально может позволить компаниям получать и распространять любую информацию, включая информацию, позволяющую идентифицировать личность (PII), частные сообщения и тому подобное. CISPA действительно позволяет частным организациям настаивать на том, чтобы правительство анонимизировало, минимизировало или иным образом ограничивало данные, которыми они делятся, но это не требует от компаний вводить такие ограничения.

В подразделе, касающемся использования федеральным правительством совместно используемой информации, есть пункт, касающийся конфиденциальности и гражданских свобод, но в нем говорится: "Федеральное правительство может, в соответствии с необходимостью защиты федеральных систем и критически важной информационной инфраструктуры от угроз кибербезопасности и для смягчения таких угроз, предпринять разумные усилия для ограничения воздействия на конфиденциальность и гражданские свободы обмена информацией о киберугрозах с федеральным правительством в соответствии с этим подразделом". Использование слова "может" звучит как добровольное, и нет дальнейшего определения того, что могут повлечь за собой эти усилия. В разделе, касающемся составления ежегодного отчета об использовании информации правительством, законопроект предписывает включить "показатели для определения воздействия на неприкосновенность частной жизни и гражданские свободы, если таковые имеются", но нет упоминания о том, как эта информация будет использоваться.

Законопроект предоставляет юридический иммунитет компаниям, делящимся информацией, даже если выяснится, что они сделали это ненадлежащим образом, при условии, что они действовали "добросовестно". Он также обеспечивает иммунитет "к решениям, принятым на основе информации о киберугрозах", но не определяет "принятые решения". С точки зрения компаний, это позволяет им свободно делиться информацией о киберугрозах и действовать в соответствии с этой информацией, не беспокоясь о дорогостоящих судебных исках, но это может полностью ограничить право физического или юридического лица предъявлять иск за любой причиненный ущерб, поскольку трудно доказать, что кто-то действовал недобросовестно. Утверждалось, что этот иммунитет также может позволить компаниям совершать такие действия, как взлом в отместку подозреваемого злоумышленника, чтобы получить информацию или нарушить работу их систем.

Еще одним спорным аспектом формулировки CISPA является потенциальная возможность ее замены рядом законов о конфиденциальности.