Om de overheid te helpen de private sector haar kritieke IT-infrastructuur te beschermen tegen cyberaanvallen, wordt een aanpak voor het delen van cybergegevens noodzakelijk geacht. Hiermee wordt de basis gelegd voor de Cybersecurity Information Sharing Act, die onlangs door de Eerste Kamer is aangenomen. Maar voorstanders van privacy hebben een andere kijk op het wetsvoorstel en vergelijken het met het controversiële surveillanceprogramma van de National Security Agency dat gericht is op het bespioneren van mensen.
Het wetsvoorstel wordt gezien als een poging om de inmiddels overleden Cyber Security Information Sharing and Protection Act nieuw leven in te blazen, zij het onder een andere naam. Maar de twee hebben een opvallende overeenkomst; De Amerikaanse overheid toestaan cybergegevens te verzamelen van particuliere bedrijven die cyberaanvallen ondergaan in een poging om de omvang van de schade te identificeren en de impact ervan op belanghebbenden te beperken.
Op het eerste gezicht lijkt de wetgeving gunstig. In een tijd waarin cyberaanvallen op grote en kleine organisaties de krantenkoppen blijven halen, is een sterke samenwerking tussen overheid en private sector een zaak van leven en dood.
Hier komt de CISA-wet, die, na twee jaar overleg op Capitol Hill, nu een stap dichter bij wet is. Links en rechts zijn er echter vragen of het wetsvoorstel tegemoet komt aan de aanhoudende vraag naar sterke cyberbescherming om dreigingen tegen te gaan.
Aan de ene kant beweren critici van het wetsvoorstel dat het in de eerste plaats bedoeld is om de overheid een legale pas toe te staan om internetgebruikers te controleren in samenspanning met particuliere bedrijven. Die critici, waaronder senator Ron Wyden, zeggen dat dit om vele redenen zo is, met als belangrijkste het gebrek aan voldoende privacybescherming in het wetsvoorstel.
Met andere woorden, de wetgeving is een bewakingswet, zoals critici grappen, en geen wet voor het delen van cyberbeveiligingsgegevens, zoals de regering zou willen beweren. Het is waar dat de bedoeling van het wetsvoorstel een goed voorteken is voor de overgrote meerderheid van de Amerikanen, maar de manier waarop de regering het wil afdwingen, doet je twee keer nadenken over het vertrouwen van je serviceprovider zodra het wetsvoorstel is aangenomen.
Een opmerkelijke bepaling van CISA is de verplichte indiening van persoonlijke gegevens aan de federale overheid in gevallen waarin het essentieel is om “de cyberaanval te tonen”. Maar het is onduidelijk hoe serieus een cyber moet zijn om dergelijke gegevensuitwisseling toe te staan, hoewel de overheid graag zegt dat het bedrijven niet toestaat om informatie met de overheid te delen als dat niet nodig is.
Het delen van cybergegevens gaat volgens privacycritici eigenlijk verder dan relevante cyberintelligentie. Bedrijfsgegevens lopen ook gevaar, in naam van de strijd tegen wat de overheid beschouwt als terrorisme en een potentiële dreiging. Nogmaals, het is niet duidelijk hoe de regering iets als een bedreiging zou categoriseren. Daarom bestaat het risico dat in plaats van uw persoonlijke gegevens te beschermen, deze uiteindelijk alleen worden blootgesteld aan derden, waaronder de overheid.
