Le Sénat américain se prépare à voter sur une législation sur la cybersécurité qui, selon ses partisans, est indispensable pour mieux aider les entreprises et le gouvernement à partager des informations sur les dernières menaces Internet. Les détracteurs du projet de loi et de ses nombreux amendements proposés affirment qu’il ne fera pas grand-chose, voire rien, pour résoudre le problème très réel de la cybersécurité défectueuse tout en créant des conditions propices aux atteintes à la vie privée. Ce qui suit est une ventilation des arguments des deux côtés et une analyse personnelle qui cherche à ajouter un contexte important au débat.
Pour examen par le Sénat au complet cette semaine est le Loi sur le partage d’informations sur la cybersécurité (CISA), un projet de loi conçu pour protéger les entreprises contre les poursuites privées et les lois antitrust si elles cherchent de l’aide ou coopèrent les unes avec les autres pour lutter contre la cybercriminalité. Le journal de Wall Street et Le Washington Post chacun a récemment publié des éditoriaux à l’appui du projet de loi.
Mise à jour, 18 h 57 HE : Le Sénat cet après-midi a adopté la CISA par un vote de 74-21.
Histoire originale :
« L’idée derrière la législation est simple : laisser les entreprises privées partager des informations entre elles, et avec le gouvernement, pour mieux lutter contre une cybermenace croissante et en constante évolution », a déclaré le WSJ dans un éditorial publié aujourd’hui (mur payant). «Ces données partagées pourraient être l’empreinte de pirates informatiques que le gouvernement a vues, mais pas les entreprises privées. Ou cela pourrait inclure une technologie plus avancée que des entreprises privées ont développée comme moyen de défense.
« Puisque les pirates peuvent frapper rapidement, la coopération en temps réel est essentielle », a poursuivi le WSJ. « Une disposition cruciale protégerait les entreprises contre les poursuites privées et les lois antitrust si elles cherchent de l’aide ou coopèrent les unes avec les autres. Les démocrates ont longtemps résisté à cette sphère de sécurité légale à la demande des avocats des plaignants qui considèrent les entreprises victimes de cyberattaques comme une autre source de pillage.
le L’éditorial du poste rejette les « allégations alarmistes [that] ont été faites par des défenseurs de la vie privée qui le décrivent comme un projet de loi de « surveillance » :
« L’idée qu’il existe un choix binaire entre la confidentialité et la sécurité est fausse. Nous avons besoin à la fois de la protection de la vie privée et de la cybersécurité, et la législation du Sénat est une étape vers la résolution de l’impasse en matière de sécurité », a conclu le Post. « Les sponsors ont ajouté des protections de confidentialité qui effaceraient les informations personnelles avant qu’elles ne soient partagées. Ils ont rendu la législation volontaire, donc si les entreprises sont vraiment concernées, elles peuvent rester à l’écart. Une large coalition de groupes d’entreprises, y compris la Chambre de commerce des États-Unis, a soutenu la législation, affirmant que le cybervol et les perturbations « progressent en portée et en complexité ».
Mais les critiques de CISA disent que le diable est dans les détails, ou plutôt dans la série d’amendements qui peuvent être ajoutés au projet de loi avant qu’il ne soit adopté. le Centre pour la démocratie et la technologie (CDT), un groupe de politique technologique à but non lucratif basé à Washington, DC, a publié une ventilation complète des modifications proposées et de leurs impacts potentiels.
Selon CDT, malgré certains changements apportés pour apaiser les préoccupations en matière de confidentialité, ni la CISA telle qu’elle est rédigée ni aucun de ses nombreux amendements proposés ne corrige les faiblesses fondamentales de la législation. Selon CDT, « le projet de loi exige que toute information d’un utilisateur Internet fournie volontairement par une entreprise au Département de la sécurité intérieure à des fins de cybersécurité soit immédiatement partagée avec la National Security Agency (NSA), d’autres éléments de la communauté du renseignement, avec le FBI/DOJ , et de nombreuses autres agences fédérales – une exigence qui découragera la participation des entreprises au système volontaire de partage d’informations envisagé dans le projet de loi.
Le CDT avertit que la CISA risque de transformer le programme de cybersécurité qu’elle crée en une écoute électronique de porte dérobée en autorisant le partage et l’utilisation des CTI (indicateurs de cybermenace) à des fins d’application de la loi très diverses qui n’ont rien à voir avec la cybersécurité. De plus, selon CDT, la CISA introduira probablement des conséquences imprévues :
« Il l’emporte sur toutes les lois en autorisant les entreprises à partager les communications et les données Internet des utilisateurs qualifiées d' »indicateurs de cybermenaces ». [and] ne fait rien pour lutter contre la conduite de la NSA qui compromet réellement la cybersécurité, y compris le stockage de vulnérabilités du jour zéro ».
ANALYSE
À première vue, les efforts visant à accroître le partage d’informations sur les dernières cybermenaces semblent une évidence. Nous lisons constamment des informations sur les failles dans les grandes entreprises dans lesquelles les attaquants se sont trouvés à l’intérieur du réseau de la victime pendant des mois ou des années avant que l’organisation ne découvre qu’il a été violé (ou, plus probablement, ils ont été informés par des responsables de l’application des lois ou sociétés de sécurité tierces).
S’il existait un moyen plus simple, nous dit-on, pour que les entreprises partagent ce que l’on appelle des « indicateurs de compromission » – des adresses Internet ou des échantillons de logiciels malveillants connus pour être favorisés par des groupes cybercriminels spécifiques, par exemple – de telles violations et la fuite de données qui en résulte les données des consommateurs et les secrets d’entreprise pourraient être détectés et bloqués beaucoup plus rapidement.
Dans la pratique, cependant, de nombreux efforts sont déjà déployés – certains publics, d’autres par abonnement – pour collecter et diffuser ces données sur les menaces. De mon point de vue, le plus grand obstacle à la détection et à la réponse aux violations plus rapidement provient d’un manque fondamental d’appréciation – de la direction d’une organisation à la base – pour tout ce qui repose sur toute la technologie qui pilote pratiquement tous les aspects du entreprise commerciale moderne aujourd’hui. Alors que de nombreux chefs d’entreprise n’apprécient pas la valeur et la criticité de tous leurs actifs informatiques, je vous garantis que les cybercriminels d’aujourd’hui ne savent que trop bien la valeur de ces actifs. Et ce fossé béant dans la sensibilisation et la compréhension est évident par le nombre de violations annoncées chaque semaine.
Beaucoup trop d’organisations ont du mal à voir la valeur d’investir dans la cybersécurité avant qu’il ne soit trop tard. Même dans ce cas, les entités piratées recherchent souvent de nouvelles technologies ou de nouveaux produits brillants qui, selon elles, aideront à détecter et à prévenir la prochaine violation, tout en négligeant la valeur d’investir dans des professionnels talentueux de la cybersécurité pour les aider à comprendre ce que toute cette technologie essaie déjà de faire. informez-les de l’intégrité et de la santé de leur réseau et de leurs appareils informatiques.
L’un des exemples les plus frappants de cette situation provient d’une constatation statique et déprimante dans les rapports annuels sur les violations de données publiés par Verizon Entreprise, une entreprise qui aide les victimes de la cybercriminalité à réagir et à nettoyer après des violations de données majeures. Chaque année, Verizon produit un rapport approfondi qui essaie de tirer des leçons des dizaines d’incidents auxquels il a répondu l’année précédente. Il interroge également des dizaines d’organismes chargés de l’application de la loi dans le monde entier pour leurs conclusions sur les enquêtes sur les incidents de cybercriminalité.
La statistique statique et déprimante est que dans un grand nombre de ces violations, les informations qui auraient pu avertir les entreprises d’une violation beaucoup plus tôt ont déjà été collectées par les divers outils de cybersécurité de l’organisation violée ; le problème était que l’organisation n’avait pas les ressources humaines nécessaires pour donner un sens à toutes ces informations.
Nous voulons tous les énormes avantages que la technologie et Internet peuvent apporter, mais trop souvent nous ne sommes pas disposés à admettre à quel point nous sommes devenus dépendants de la technologie. Nous embrassons et vantons ces avantages, mais nous échouons régulièrement à apprécier comment ces outils peuvent être utilisés contre nous. Nous voulons les avantages de tout cela, mais nous hésitons à faire le travail difficile et très souvent peu sexy requis pour nous assurer que nous pouvons continuer à faire en sorte que ces avantages fonctionnent pour nous.
L’aspect le plus frustrant d’une approche législative pour résoudre ce problème est qu’il peut être pratiquement impossible de mesurer si un projet de loi comme CISA conduira en fait à davantage de partage d’informations qui aideront les entreprises à prévenir ou à annuler les violations de données. Pendant ce temps, l’histoire est jonchée d’exemples de lois bien intentionnées qui produisent des conséquences involontaires (sinon imprévues).
Après avoir lu le projet de loi CISA proposé et sa myriade d’amendements, j’ai une impression peut-être mieux exprimée dans une lettre envoyé plus tôt cette semaine aux parrains du projet de loi par près de deux douzaines d’universitaires. La coalition de professeurs a accusé la CISA d’être un exemple de la loi classique « faisons quelque chose » d’un Congrès qui subit une pression intense pour répondre à un défilé apparemment sans fin d’infractions dans les secteurs public et privé.
Plutôt que d’encourager les entreprises à renforcer leurs propres normes de cybersécurité, les professeurs ont écrit : « CISA ignore cet objectif et décharge la responsabilité sur un réseau généralisé de partage d’informations secrètes public-privé ».
« La CISA crée une nouvelle loi au mauvais endroit », conclut la lettre. « Par exemple, comme l’indique la lettre ci-jointe, le partage d’informations sur les menaces de sécurité est déjà assez robuste. Au lieu de cela, ce dont nous avons le plus besoin, ce sont des efforts privés plus robustes et significatifs pour empêcher les intrusions dans les réseaux et les fuites, et CISA ne fait rien pour nous faire avancer dans cette direction.
Lectures complémentaires : Journaliste indépendant chargé de la sécurité nationale Le point de vue de Marcy Wheeler sur EmptyWheel.net.