Az Amerikai Egyesült Államok Szenátusa 2015. október 27-én döntő többséggel (74 vs. 21 szavazattal) elfogadta az internetes adatmegosztást ösztönző kiberbiztonsági törvényt (Cybersecurity Information Sharing Act – CISA).

A kiberbiztonsági törvény célja a gyors, hatékony és valós idejű információ megosztás az állami szektor és a magán szektor szereplői között. A kibervédelem erősítése érdekében a törvény felhatalmazása alapján az amerikai nagyvállalatok önkéntes módon megoszthatják a kibertámadás során keletkezett olyan bizalmas információikat (biztonságtechnikai adatok és személyes adatok), amelyek a kibertámadások forrását és jellegét képesek visszakövethetővé tenni. A törvény értelmében a nagyvállalatok ezeket a bizalmas információkat a Belbiztonsági Minisztériumnak (Department of Homeland Security – DHS) továbbíthatják. Az információ megosztással a törvény mentességet és teljes körű jogi védettséget ad számukra a trösztellenes és fogyasztói-adatvédelmi törvényekkel szemben.

A törvény előkészítése hatalmas vitát váltott ki az információbiztonsággal foglalkozó szakmai körökben mind az állami, mind a magánszektoron belül. A kormányzat a törvény szükségességét azzal hangsúlyozta, hogy több, jelentős amerikai nagyvállalatot összehangolt kibertámadás ért az elmúlt időszakban. A hackerek célkeresztjébe került többek között a Home Depot áruházlánc, a J.P. Morgan Chase & Co. Bank, a Sony Pictures, OPM-ügy.

A törvény szellemisége mellett az üzleti szféra több szereplője, valamint az amerikai kereskedelmi kamara is kiállt, akik szerint az új szabályozás segíthet megelőzni a fentiekhez hasonló kibertámadásokat.

A kritikusok szerint a jogalkotói szándék kizárólag a hazafias törvény (Patriot Act) kedvezőtlen módosítására kíván reagálni.

Az amerikai hazafias törvény (Patriot Act) 215. cikkelye ugyanis 2015. május 31-én hatályát vesztette. A rendelkezés 14 éven keresztül adott felhatalmazást a titkosszolgálatok részére, hogy az amerikai állampolgárok magánbeszélgetéseit lehallgathassák, a begyűjtött személyes adatokat adatbázisban tárolhassák, potenciális elkövetők ellen vizsgálódhassanak. A Kongresszus azonban nem újította meg a cikkely hatályát, ezzel is jelezve, hogy véget kíván vetni az eddigi gyakorlatnak és a megfigyelési politika reformját tartja szükségesnek. A hazafias törvényt 2001. év októberében fogadta el az amerikai kongresszus, a 9/11 terrortámadást követő válaszlépések egyikeként. A törvény felhatalmazása alapján a merényletek megelőzése érdekében a titkosszolgálatok és a nemzetközi hírszerzés eszköztára kibővült. Lehetővé vált a gyanúsnak ítélt üzleti tranzakciók, telefonhívások, üzleti tevékenység, internet-, bankkártya, hitelkártya használat, hotelszoba foglalás, autóbérlés lekövetése. Az amerikai nemzetbiztonsági ügynökség (NSA) ezzel a felhatalmazással korlátozás nélkül lehallgathatta nemcsak az amerikai, de a nemzetközi állampolgárokat is, amely visszaélésekre adott okot. Két éve hatalmas botrányként robbant be a köztudatba Edward Snowden, volt NSA alkalmazott nyilatkozata. Kiderült, hogy a magánszemélyek mellett számos állami vezetőt, köztük Angela Merkel, német kancellárt is lehallgatta az amerikai hírszerzés. A diplomáciai botrány előszobája volt annak a döntési kényszernek, amely alapján az amerikai kongresszus a Szabadság törvény (Freedom Act) elfogadásával korlátozta a tömeges megfigyelést és adatgyűjtést.

A kritikusok véleménye szerint a CISA új szabályozása ismételten széles körű jogi felhatalmazást ad az amerikai állampolgárok személyes adataihoz való hozzáférésre és állami felügyeletére.

A kritikusok ellenérvei pontokba szedve az alábbiak szerint összegezhető:

  • Nem ad valós kibervédelmi megoldást a szabályozás

A nagyvállalatok eddig is alkalmazták az új szabályozásban elrendelt adatgyűjtést és kibervédelmi információ megosztást, amely csekély hatékonysággal működött.

A belbiztonság (Department of Homeland Security – DHS) pedig rendelkezik kibervédelmi vészhelyzet előrejelző információs rendszerrel, amely külön egységként CERT-ként funkcionál (DHS CERT). A CERT munkatársai folyamatosan monitorozzák az állami és privát információs rendszereket, továbbá igény szerint napi jelentésekkel szolgálnak az aktuális fenyegetettségekről a bejelentkezett vállalatok részére.

A kritikusok véleménye szerint egy új információs portál kialakítása önmagában nem oldja meg a problémát és az eddigi gyakorlat nem igazolja a CISA hatékonyságát.

  • Növekvő állami felügyelet

A CISA szabályozása felhatalmazást ad a Belbiztonsági Minisztériumnak teljes körű adatgyűjtésre (DHS). A szabályozás további felhatalmazása lehetővé teszi a kibervédelem égisze alatt az érzékeny adatok továbbítását más szövetségi hivatalok részére is (FBI, ATF, CIA, NSA).

  • Magánszféra fenyegetettsége

A CISA felhatalmazást ad az incidensekkel összefüggésbe hozható kiber adatok megosztására a Belbiztonsági Minisztérium és az érintett szervezetek között. A szabályozás megfogalmazása szerint ezek az úgynevezett indikátorok lehetnek IT-biztonsági adatok, fertőző számítógépes kódok adatai, biztonsági sérülékenységek és minden egyéb tényleges és lehetséges adat az incidens következményeiről. A szabályozás hiányosságaként írják a kritikusok, hogy nem egyértelmű a tényleges és lehetséges adatok körének meghatározása. A szabályozás a későbbiek során részletszabályokban, iránymutatásokban kívánja ezeket a hiányosságokat kiegészíteni, pontosítani.

Az új szabályozás ellen van a nagyvállalatok közül a Google, Apple, Microsoft, ACLU, számos civil szervezet, az akadémia jeles képviselői és biztonsági szakemberek.

  • Együttműködő nagyvállalatok egységes mentessége, jogi védettség

A kritikusok véleménye szerint az együttműködő szervezetek, amelyek megosztják az érzékeny információkat és ezáltal teljes körű jogi védettséget élveznek, nem feltétlenül helyeznek majd hangsúlyt a saját információs rendszereik naprakész IT-biztonsági kialakítására, az adatok védelmére. Az együttműködés során félő, hogy ezek a szervezetek megelégednek majd a hálózati biztonsági hibák gyors javításával, amit az információ megosztásnak köszönhetően a kormányzat biztosít számukra.

A kritikusok legfontosabb érvelése szerint a magánszektorban eddig is működő információ megosztási mechanizmusokat nem a szabályozás tudja majd hatékonyabbá tenni. Az ellenzők rámutatnak, hogy a jelenlegi szabályozás a magánszféra védelmét sérti leginkább, és kevésbé a kibervédelmet szolgálja.

Ugyanakkor a CISA létjogosultsága mellett érvelők azt állítják, hogy a CISA célja a személyes magánszféra védelmének hatékonyabb megteremtése. Ennek érdekében a szabályozás lépéseket tesz a további kibertámadások megelőzésére, és egy új kibervédelmi együttműködési környezetet teremt az állami és magánszféra között. Mindezt kizárólag önkéntes alapon teszi. Nem kötelezi a nagyvállalatokat semmilyen olyan személyes érzékeny adat kiadására, amely nem a kiber incidens megoldását, az egyén testi épségének és egészségének védelmét, valamint a konkrét kiber bűncselekmény kivizsgálását szolgálja. A felsorolás kritériumain felül a szabályozás kifejezetten az érzékeny meta adatoktól mentes információk megosztását írja elő. A konkrét kiber incidenshez nem kapcsolódó információ megosztását nem teszi lehetővé a szabályozás.

A fenti érvek és ellenérvek összevetése mellett is jól látszik, hogy az amerikai döntéshozatal elkötelezett a CISA elfogadása mellett. Ezt bizonyítja az 55 civil szervezet és biztonsági szakértő nyílt levelében foglalt intenzív szakmai ellenvetés ellenére is elfogadott jelenlegi szabályozás, amely már csak elnöki aláírásra vár, valamint két másik hasonló tárgyú jogszabály tervezett elfogadása (the Protecting Cyber Networks Act (PCNA), the National Cybersecurity Protection Advancement Act (NCPA).