CISA لایحه جنجالی نظارت و پیامدهای آن

CISA لایحه جنجالی نظارت و پیامدهای آن

کنگره CISA را  تحت نام جدید قانون امنیت سایبری ۲۰۱۵ که به لایحه بودجه فدرال لحظه آخری ‘omnibus’ پیوست شده است، تصویب کرد. برای اطلاعات بیشتر در این پست HiVPN با ما همراه شوید.

سنای ایالات متحده به قانونی رأی داد که ممکن است ایده حریم خصوصی آنلاین را فلج کند.

CISA چیست؟

قانون به اشتراک گذاری اطلاعات امنیت سایبری (CISA) سال ۲۰۱۵ یک لایحه اصلاح شده است که به نام CISPA )قانون به اشتراک گذاری و حفاظت اطلاعات سایبری) شناخته می شود که به دلیل انتقاد عمومی ۳ بار در کنگره تصویب نشد.

CISA به شرکت‌های بزرگ اجازه می‌دهد تا اطلاعات مربوط به تهدیدات سایبری را بدون ترس از شکایت با دولت یا یکدیگر به اشتراک بگذارند.

این لایحه بحث برانگیز که راه تبدیل شدن به قانون را در ایالات متحده می کند، دستخوش بازنگری های متعددی شده و با انتقادات زیادی روبرو شده است. افسوس، نسخه ای از CISA در آوریل سال جاری توسط مجلس نمایندگان تصویب شد، سپس در ۲۲ اکتبر ۲۰۱۵ با ارائه لایحه اصلاح شده در سنای ایالات متحده با حمایت هر دو حزب و کاخ سفید ، پیشرفت بیشتری به سمت قانون شدن داشت . اگر این لایحه در روز سه‌شنبه ۲۷ اکتبر به رای سنا برسد – قبل از اینکه رئیس‌جمهور آن را به قانون تبدیل کند، باید با آن موافقت شود.

که به قانون امنیت سایبری ۲۰۱۵ تغییر نام داد، در روز چهارشنبه ۱۶ دسامبر ۲۰۱۵ بی سر و صدا به لایحه بودجه فدرال اضافه شد و بسیاری از نمایندگان کنگره نتوانستند قبل از رأی گیری در ۱۸ دسامبر، لایحه بودجه صفحه ۲۰۰۰+ «Omnibus» را بخوانند. این لایحه ۳۱۶ به ۱۱۳ تصویب شد. اکنون که این لایحه در بودجه فدرال تصویب شد . امضای رئیس جمهور رسماً CISA را به قانون تبدیل می کند.

به گفته حامیان این لایحه، این گامی جامع در جهت ایمن سازی داده های خصوصی در برابر هکرها است که از طریق اشتراک گذاری شرکت ها “شاخص های تهدید سایبری” اولیه با وزارت امنیت داخلی به دست آمده است. اپوزیسیون – گروه‌هایی که از حریم خصوصی اینترنت، امنیت و آزادی‌های مدنی حمایت می‌کنند، معتقدند این لایحه بیش از آنکه حل کند، مشکلاتی را ایجاد خواهد کرد.

فهرست مسائل مربوط به لایحه پیشنهادی CISA:

اعطای اختیارات بزرگ به شرکت هایی که به داده های خصوصی دسترسی دارند

شرکت های ارتباط اینترنتی مانند فیس بوک یا گوگل به بسیاری از داده های خصوصی کاربران اینترنت دسترسی دارند. CISA به این شرکت‌ها این حق را می‌دهد که در برابر هرگونه تهدید “مشکوک” ابتکار عمل کنند. این بدان معناست که داده های شخصی میلیون ها کاربر به طور فعال نظارت و جمع آوری می شود. به نوبه خود، شرکت ها در برابر هر گونه قوانین نظارتی موجود مصونیت خواهند داشت.

برای محافظت از خود در برابر نظارت، همیشه از HiVPN برای حفظ حریم خصوصی و امنیت آنلاین واقعی استفاده کنید.

سی‌ان‌ان گزارش می‌دهد: دو گروه بزرگ صنعت فناوری که با هم آمازون، دل، eBay، فیس‌بوک، گوگل، مایکروسافت، یاهو و دیگران را نمایندگی می‌کنند، به دلایل حفظ حریم خصوصی به شدت با این لایحه مخالفت می‌کنند. اپل، سیلزفورس و توییتر بیانیه هایی صادر کرده اند که می گویند این لایحه ایده بدی است.

غول‌های دره سیلیکون استدلال می‌کنند که CISA هیچ گونه حفاظت یا راه‌حلی برای حملات سایبری ارائه نمی‌کند، بلکه به حریم خصوصی کاربران آنها حمله می‌کند.

افشای اطلاعات خصوصی به سازمان های دولتی بدون مجوز

CISA از شرکت‌های مذکور می‌خواهد که آن داده‌ها را بدون ضمانت به دولت فاش کنند. به طور دقیق تر، اشتراک گذاری اطلاعات در زمان واقعی انجام می شود.

اطلاعاتی که احتمالا به اشتراک گذاشته شده است: می تواند هر چیزی از محتوای ایمیل، رمز عبور، آدرس IP یا اطلاعات شخصی مرتبط با یک حساب کاربری باشد.

حوادث اخیر امنیت سایبری به عنوان استدلالی برای پیشبرد سریعتر CISA بدون فکر کردن به عواقب آن استفاده می شود.

در اوایل سال جاری به رسوایی هک OPM اشاره شد که در تلاش بود تا سیاستمداران و مردم را متقاعد کند که ایالات متحده باید از تهدیدات خارجی آنلاین جلوگیری کند. مشکل این منطق مربوط به انتساب نادرست است. به جای تقویت استانداردهای امنیتی مانند ارتقاء و آموزش پروتکل امنیتی (یعنی تعداد هشداردهنده ای از حساب های OPM از رمز عبور برای دسترسی به حساب های خود استفاده می کنند) ، تمرکز بر برنامه ای است که داده های بیشتری را در حین اشتراک گذاری به خطر می اندازد و در معرض دید قرار می دهد.

شرکت ها می توانند اقدامات متقابلی را در برابر “تهدید درک شده” آغاز کنند.

شرکت‌هایی که داده‌های کاربران اینترنت را ردیابی و نظارت می‌کنند، مجموعه‌ای از قدرت‌ها را بدون نظارت کم یا بدون نظارت به دست خواهند آورد. همچنین آنها پاسخگو نخواهند بود، مگر اینکه آسیب “مهم” به تماشاگر بی گناه وارد شود.

بازیابی اطلاعات در مورد جمع آوری داده های خصوصی حتی تحت قانون آزادی اطلاعات دشوار خواهد بود.

تمام اطلاعات جمع آوری شده با CISA بدون ضمانت بوده و از گزارش دقیق در مورد جمع آوری داده ها و سرنوشت بعدی پس از انتقال به آژانس هایی مانند FBI، NSA و غیره معاف خواهند بود.

زبان مورد استفاده در طرح لایحه CISA بسیار مبهم است.

تعاریف عباراتی مانند «تهدید امنیت سایبری» یا «شاخص‌های تهدید سایبری» آنقدر مبهم هستند که عملاً هیچ محدودیتی در مورد داده‌های قابل جمع‌آوری و اشتراک‌گذاری اعمال نمی‌کنند.

با توجه به اینکه چگونه در اوایل سال جاری دادگاه تجدیدنظر منطقه نظارت جمعی را غیرقانونی اعلام کرد، مشاهده این که این لایحه بحث برانگیز تبدیل به قانون شد، مایوس کننده است.

تأثیر قانون به اشتراک گذاری اطلاعات امنیت سایبری

در حالی که تصویب CISA در سال ۲۰۱۵، تلاشی برای کمک به قربانیان حملات سایبری در مقیاس بزرگ بود، کارشناسان حفظ حریم خصوصی داده ها همچنان تردید دارند. اگر داده‌های افراد و شرکای تجاری به طور قانونی با دولت‌ها، آژانس‌های امنیتی و سایر اشخاص ثالث به اشتراک گذاشته شود، به دلایل مبهم و گسترده، می‌تواند برای حریم خصوصی افراد و آزادی‌های مدنی کشنده باشد.