Šią savaitę Obamos administracija ėmėsi atgaivinti du įstatyminius pasiūlymus, kurie neabejotinai iš naujo paskatins senus ginčus dėl federalinės valdžios vaidmens užtikrinant geresnę amerikiečių apsaugą nuo kibernetinių atakų.
Pirmadienį prezidentas kalbėjo apie būtinybę vienu duomenų saugumo pažeidimo įstatymu pakeisti visą pulką iki galo neištobulintų ir labai skirtingų įstatymų, galiojančių skirtingose valstijose. Naujasis Asmeninių duomenų įspėjimo ir apsaugos aktas (angl. Personal Data Notification and Protection Act) pateiktų įmonėms standartinį formatą, kaip turi būti paskelbiama apie duomenų saugumo pažeidimus, ir paskirtų 30 dienų laikotarpį, per kurį nuo pastebėto saugumo pažeidimo reikėtų informuoti vartotojus, kuriuos tai palietė.
Antradienį prezidento administracija pranešė apie planus atgaivinti kontraversišką 2011 metų kibernetinio saugumo įstatymo projektą, skirtą skatinti privatų sektorių dalintis informacija apie grėsmes ir pažeidžiamumą. Įstatymas teisiškai apsaugotų įmones, kurios pateikia žvalgybinę informaciją apie grėsmes JAV Vidaus saugumo departamento Nacionalinio kibernetinio saugumo ir komunikacijos integracijos centrui, kuris savo ruožtu informaciją perduotų Nacionalinei saugumo agentūrai ir kitoms federalinėms agentūroms.
Administracija taip pat patvirtino, kad detaliai šiuos pasiūlymus prezidentas pristatys sausio 20 dieną savo kalbos „Apie Sąjungos padėtį“ metu. Panašu, kad šie projektai yra dalis platesnio vyriausybės atsako į pastarųjų mėnesių didelės reikšmės kibernetines atakas.
Kaip minėta, apie abu projektus jau buvo kalbama anksčiau, tačiau abu nesurinko reikiamos paramos Kongrese. Net ir dabar, sustiprėjus nerimui dėl informacijos saugumo, neaišku, ar ankstesni įstatymo projektų oponentai pakeitė savo nuomonę.
Didžiausią nerimą dėl galimų naujų kibernetinio saugumo įstatymų išreiškė privatumo rėmėjai, kurių neįtikina DHS ir NSA tikinimas, kad bus perduodami tik anoniminiai, su saugumo pažeidimais susiję duomenys. Nemažai įtakingų nevyriausybinių grupių mano, kad įstatymai taps pretekstu vyriausybei šnipinėti savo piliečius, o kompanijos galės nebaudžiamos platinti privačius duomenis. Be to, ekspertai tikina, kad jau dabar yra pakankamai dalinamasi informacija, tad papildomi įstatymai nėra reikalingi.
„Informacija skirtingos industrijos sėkmingai dalinasi ir dabar. Be to, man nėra žinomas nė vienas didelio masto saugumo pažeidimas, kurio priežastis būtų nepakankamas dalijimasis informacija“, – sako Johnas Pescatore, saugumo grėsmių direktorius iš SANS instituto, informacijos saugumo tyrimų ir mokymų kompanijos.
Net ir tie, kurie nėra įstatymo opozicijoje, sako, kad toks įstatymas nėra blogas pats savaime, tačiau jis nėra būtinas – svarbiau yra ne informavimo apie saugumo pažeidimus reguliavimas, o apsauga nuo tokių išpuolių ir jų neigiamo poveikio švelninimas. Kai kurie specialistai net išreiškė nerimą, kad toks federalinis įstatymas ne tik nesustiprins dabartinės vartotojų privatumo apsaugos, bet ją dar labiau susilpnins.
Akivaizdu, kad nė vienas iš dviejų pasiūlytų įstatymo projektų nepadės apsaugoti kompanijų nuo galimų kibernetinių atakų, ypatingai tų, kurias vykdo suverenių valstybių palaikomi programišiai. Apskritai sunku pasakyti, ar yra koks nors būdas tokią apsaugą užtikrinti. Tiesiog yra per daug kintamųjų, per daug silpnų vietų, per daug blogiukų...
Be to, nepamirškime, kad jokia valstybės pagalba nėra nemokama – kompanijoms gali tekti už tai susimokėti. Dar daugiau, jos gali būti priverstos laikytis federalinių kibernetinio saugumo planų, kurie gali nederėti su jų pačių strategija ar (tai neramina dar labiau) gali reikalauti tam tikros konfidencialios informacijos.
Saugumo ekspertas ir žurnalistas Peteris W. Singeris rimtoje prezentacijoje „South by Southwest“ konferencijoje praėjusį kovą paaiškino, kad už kibernetinio saugumo slypi daug svarbių struktūrinių problemų, o dauguma mūsų lyderių nė nesuvokia, kas iš tiesų vyksta – dėl to yra iškraipomos tikrosios grėsmės ir neteisingai skirstomi resursai. Kol kas nėra jokių įrodymų, kad valdžios intervencija galėtų užtikrinti mūsų saugumą.
„New York Times“ savaitgalio publikacijoje labai taikliai pastebėjo, kad „Baltieji rūmai taip pat nepaaiškino, ar prezidentas ketina komentuoti kelis sunkiausius klausimus, kuriuos iškėlė naujausios atakos: kada federalinė valdžia turi imti kovoti su programišiais ir ar pačios Amerikos naudojami kibernetiniai ginklai yra situaciją komplikuojantis faktorius?“