Para que el gobierno ayude al sector privado a proteger su infraestructura de TI crítica de los ataques cibernéticos, se considera necesario un enfoque de intercambio de datos cibernéticos. Esto sienta las bases para la Ley de intercambio de información sobre ciberseguridad, que recientemente fue aprobada por el Senado. Pero los defensores de la privacidad tienen una visión diferente del proyecto de ley, comparándolo con el controvertido programa de vigilancia de la Agencia de Seguridad Nacional destinado a espiar a las personas.
El proyecto de ley se considera un intento de revivir la ahora muerta Ley de Protección e Intercambio de Información de Seguridad Cibernética, aunque con otro nombre. Pero los dos tienen una sorprendente similitud; Permitir que el gobierno de EE. UU. recopile datos cibernéticos de empresas privadas que sufren ataques cibernéticos en un esfuerzo por identificar la escala del daño y mitigar su impacto en las partes interesadas.
A primera vista, la legislación puede parecer benévola. En un momento en que los ataques cibernéticos contra organizaciones grandes y pequeñas continúan ocupando los titulares, una sólida colaboración entre el gobierno y el sector privado es una cuestión de vida o muerte.
Llega el proyecto de ley CISA, que, después de dos años de deliberaciones en el Capitolio, está ahora un paso más cerca de convertirse en ley. Sin embargo, hay dudas a diestra y siniestra sobre si el proyecto de ley abordaría la demanda permanente de una protección cibernética sólida para protegerse de las amenazas.
Por un lado, los críticos del proyecto de ley afirman que está diseñado principalmente para permitir un pase legal para que el gobierno controle a los usuarios de Internet en connivencia con empresas privadas. Esos críticos, incluido el senador Ron Wyden, afirman que es así por muchas razones, la principal de ellas es la ausencia de suficiente protección de privacidad en el proyecto de ley.
En otras palabras, la legislación es un proyecto de ley de vigilancia, como bromean los críticos, y no un proyecto de ley de intercambio de datos de seguridad cibernética, como el gobierno quisiera declarar. Es cierto que la intención del proyecto de ley es un buen augurio para la gran mayoría de los estadounidenses, pero la forma en que el gobierno pretende hacerla cumplir le hace pensar dos veces antes de confiar en su proveedor de servicios una vez que se promulga el proyecto de ley.
Una disposición notable de CISA es el envío obligatorio de datos personales al gobierno federal en los casos en que sea fundamental “mostrar el ciberataque”. Pero no está claro qué tan grave debería ser un ciber para permitir ese intercambio de datos, aunque al gobierno le gusta decir que no permite que las empresas compartan información con el gobierno si no es necesario.
El intercambio de datos cibernéticos, según los críticos de la privacidad, en realidad está más allá de la inteligencia cibernética relevante. Los datos corporativos también están en riesgo, en nombre de la lucha contra lo que el gobierno considera como terrorismo y amenaza potencial. Una vez más, no está claro cómo el gobierno categorizaría algo como amenaza. Por lo tanto, existe el riesgo de que, en lugar de proteger sus datos personales, solo terminen expuestos a terceros, incluido el gobierno.
