CISA probabilmente tornerà in Senato, tra dubbi sull'efficacia

I sostenitori di una polemica politica di scambio di informazioni sul cyberthreat spingeranno il Senato americano a passare questo autunno, anche se alcuni esperti di sicurezza

I sostenitori della Cybersecurity Information Sharing Act (CISA) riprenderanno gli sforzi per ottenere il disegno di legge approvato quando il Congresso tornerà da una pausa di un mese la prossima settimana, anche se il leader della maggioranza al Senato Mitch McConnell, un repubblicano del Kentucky , non ha ancora inserito la CISA nel programma del Senato, ha detto un portavoce.

I sostenitori della CISA e le fatture simili dicono che la condivisione delle informazioni sul cyberthreat è necessaria per le aziende e l'età governativa necessità di rispondere agli attacchi in corso. Ma la condivisione di informazioni sul cyberthreat potrebbe non aver impedito diversi recenti attacchi di alto profilo alle agenzie governative, ha affermato Ryan Kalember, vicepresidente senior della strategia di sicurezza informatica di Proofpoint, un fornitore di sicurezza basato sul cloud.

Diverse recenti violazioni del governo risultato di attacchi mirati contro le persone, "usando e-mail, social media e altri metodi, ha detto Kalember via e-mail.

"Da ciò che capiamo, anche gli attacchi sono stati presi di mira", ha aggiunto. Quelle violazioni non potevano essere fermate né impedite, anche se i dettagli degli attacchi, come il tipo di malware e i metodi di distribuzione, erano stati rapidamente condivisi, secondo Kalember.

Pur condividendo il metodo di attacco si può avvisare altre agenzie o aziende, la varietà dei controlli di sicurezza informatica utilizzati in tutto il governo e oltre può limitare l'efficacia della condivisione delle minacce, ha aggiunto. Le agenzie "non hanno mezzi tecnici coerenti per rendere l'intelligence utilizzabile, cosa che la CISA non ha sostanzialmente nulla da risolvere".

La CISA proteggerebbe le aziende che condividono le informazioni sui cyberthreat tra loro e con le agenzie governative dalle cause dei clienti.

Al di là delle domande sui gruppi di efficacia, privacy e libertà civili, il progetto di legge consentirebbe alle aziende di condividere troppe informazioni personali con agenzie governative come la National Security Agency. I critici hanno definito la CISA una legge di sorveglianza sotto mentite spoglie.

Anche dopo un lungo dibattito al Senato quest'estate, ci sono ancora "problemi significativi" con la CISA, ha affermato Greg Nojeim, consulente senior presso il Center for Democracy and Technology, un gruppo dei diritti digitali.

"Secondo noi, l'informazione è potere", ha affermato. "Se l'entità che riceve l'informazione è un'agenzia militare / di intelligence, in particolare l'NSA, che pone l'NSA al posto di guida di quello che dovrebbe essere un programma civile per la sicurezza informatica."

Tuttavia, diversi gruppi di tecnologia e commercio stanno spingendo forte per il Congresso di passare CISA.

La versione senatoriale della CISA richiede alle aziende di avere un processo automatizzato per rimuovere le informazioni personali, Alan Roth, vicepresidente senior del gruppo commerciale USTelecom, ha scritto in un post sul blog di agosto.

"I milioni di americani le cui informazioni personali vengono minacciate ogni giorno da hacker, criminali informatici e, purtroppo, persino da alcuni stati nazionali o dai loro delegati, saranno i grandi vincitori della privacy sotto questa legislazione", ha aggiunto Roth.