Europa pochłonięta walką o lepszą cyberprzyszłość, przestała zwracać uwagę na to co dzieje się za oceanem. A dzieje się tam dużo. Kongres Stanów Zjednoczonych Ameryki Północnej próbuje przeforsować Cyber Intelligence Sharing and Protection Act, który w swoim założeniu ma na celu zwalczanie cyberprzestępczości, terroryzmu oraz wszelkich innych zagrożeń, którym można zapobiec poprzez monitorowanie działań użytkowników w sieci. Choć cel jest szczytny, to amerykanie, przyzwyczajeni do swojej słynnej (choć według wielu złudnej i przereklamowanej) wolności, boją się, że cała sprawa obróci się przeciwko nim. Trzeba przy tym pamiętać, że największym lękiem mieszkańców Stanów Zjednoczonych jest strach przed inwigilacją, a co za tym idzie CISPA stała się w ostatnim czasie osią sporu, wokół, której amerykańskie media rozpętały burzę. O co w tym wszystkim chodzi?

Postaram się w jak najprostszy sposób wyjaśnić założenia projektu CISPA. Obecnie w Stanach Zjednoczonych jest tak, że jeśli rząd ma podejrzenie, że istnieje możliwość popełnienia przestępstwa (m.in. cyberataku, kradzieży oprogramowania i innych rodzajów cyberprzestępstw), to odpowiednie organy mają obowiązek:

(1) przedstawić podejrzanemu zarzuty,

(2) zdobyć stosowny nakaz,

(3) wystąpić do administratora danych z żądaniem udostępnienia informacji o podejrzanym (oczywiście w zakresie jego cyber-aktywności).

Jak będzie się kształtować sytuacja w przypadku, gdy Kongres przepchnie CISPA? W takiej sytuacji będzie można skreślić punkt 1, 2 i 3 i w ich miejsce wstawić… No właśnie, w ich miejsce nie trzeba będzie nic wstawać, ponieważ CISPA umożliwi rządowi uzyskanie danych już na etapie podejrzenia popełnienia przestępstwa. Cyber Intelligence Sharing and Protection Act zobowiąże zatem wszystkie firmy zajmującym się  przetwarzaniem informacji o aktywności internautów do udostępnienia danych rządowi, bez konieczności występowania przez agencje o nakaz.

A kto będzie miał dostęp do tych danych? Lista agencji rządowych jest długa i znajdują się na niej, poza wszystkim dobrze znanymi FBI, NSA, DEA, IRS, również takie podmioty jak U.S. POSTAL SERVICE, AMTRAK, BORDRER PATROL, HOMELAND SECURITY czy FEDERAL STUDENT AID – w sumie 603 agencje rządowe.

Jedocześnie, jeśli spodziewaliście się transparentności procesu pozyskiwania informacji z wykorzystaniem narzędzi stworzonych przez CISPA, to muszę Was zmartwić. Zgodnie z sekcją 1104 ust. (b) pkt (2) lit. (A) (i) projektu ustawy („USE AND PROTECTION OF INFORMATION- Cyber threat information shared in accordance with paragraph (1)– … ‘(i) shall be exempt from disclosure under section 552 of title 5, United States Code;”) informacje o działaniach organów, a co za tym idzie uzyskane przez nie dane, nie będą publikowane bądź udostępnianie do wglądu. Tym samym przeciętny obywatel amerykański nie będzie wiedział, że jest bądź był inwigilowany, wskutek czego nie będzie mógł wnieść jakiegokolwiek środka zaskarżenia na działania organów.

Jak można zauważyć, miejsca, w których przeciętny użytkownik sieci mógł oczekiwać prywatności, mogą stać się miejscami w których przeciętny użytkownik sieci będzie czuł się jak w roku 1984… Orwella. Dotychczas serwisy internetowe nie udostępniały danych swoich użytkowników bez przedstawienia przez rządowe agencje stosownego nakazu, wskazując na nielegalność takiego procederu. Jeśli rząd wprowadzi nową ustawę, to powyższy argument całkowicie straci na znaczeniu. Co ciekawe ustawa może dotknąć również obywateli innych krajów, bo przecież serwery wielu internetowych gigantów znajdują się właśnie na terenie Stanów Zjednoczonych. Tym samym rząd USA będzie dysponował legalnym narzędziem, które umożliwi mu przeglądanie wszystkich danych znajdujących się np. na serwerach Google, a co za tym idzie wszystkich wiadomości przetrzymywanych w skrzynkach pocztowych kończących się na @gmail.com. Podobnie sytuacja wygląda z Facebookiem, Twitterem, YouTubem, które na brak newralgicznych danych swoich użytkowników nie narzekają.

Jakie stanowisko zajmują zatem w temacie CISPA najwięksi rynkowi gracze? Paradoksalnie CISPA może im być na rękę. Istnieje duże podejrzenie, że to właśnie oni stoją za projektem ustawy. CISPA jest podobno kompromisem pomiędzy rządem, a lobbystami, który zrodził się na zgliszczach jej poprzednika – SOPA. W przeciwieństwie do SOPA, CISPA nie wymusza na administratorach danych monitorowania przepływu danych, a co za tym idzie nie wymaga od nich angażowania praktycznie żadnych środków finansowych. Jeśli zatem CISPA przejdzie, jedynym zadaniem administratora danych będzie przekazanie informacji dotyczących danego użytkowniku rządowi, bez zadawania zbędnych pytań, np. o legalność zapytania, nakaz itp. i bez ryzyka sporu sądowego z użytkownikami, którzy teraz często swój gniew kierują właśnie w stronę firmy, która przekazała rządowi informacje.  

Na dzień dzisiejszy CISPA przeszła (w nowej wersji, z kilkoma poprawkami) przez Izbę Reprezentantów, ale utknęła za to w Senacie w którym nie spotkała się z tak gorącym przyjęciem. Nie wiadomo jakie dalsze losy czekają ustawę, ale biorąc pod uwagę falę protestów jaka przetoczyła się przez USA oraz głosy mówiące o sprzeczności postanowień projektu z czwartą poprawką i całym systemem prawa cywilnego Stanów Zjednoczonych, można z dużą dozą prawdopodobieństwa powiedzieć, że walka będzie zacięta. A jeśli nawet CISPA upadnie, to na jej miejsce wskoczy kolejny projekt – nazwę możecie wymyślić sobie sami 🙂

wpis autorstwa Pawła Ślązaka