CISPA: החוק שיאפשר לרגל אחרי הגולשים או להגן עליהם?

הרשת סוערת בעקבות אישור חוק לשיתוף מידע על איומי סייבר בין חברות לממשל. רבים מסכימים שהוא נחוץ, אך חוששים שהנוסח המעורפל יהפוך אותו לכלי ריגול אחרי אזרחים. גם אובמה מאיים בווטו

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
עודד ירון

בית הנבחרים האמריקאי העביר בסוף השבוע חוק לשיתוף מידע על איומי סייבר בין חברות לממשל, שמעורר התנגדות עצומה ברשת. מתנגדיו, ובהם עשרות ארגוני זכויות אזרח, חוששים שהוא עלול לפגוע בפרטיות האזרחים ולאפשר לממשל לרגל אחריהם. בנוסף קיים חשש כי הוא ישמש כלי נגד הפרת זכויות יוצרים ונגד משתפי קבצים ברשת. באתר האקטיוויזם AVAAZ.org שתי עצומות שונות הביאו יחדיו יותר מ-1.4 מיליון חתימות נגד החוק. החוק עומד כעת בפני אישור בסנאט האמריקאי, ובפני משוכה גבוהה אף יותר. גם מהבית הלבן נמסר בשבוע שעבר כי נשיא ארה"ב ברק אובמה שוקל להטיל וטו על החוק בניסוחו הנוכחי. מנגד זוכה החוק לתמיכה גם מצד רבים מחברי מפלגתו הדמוקרטים של הנשיא, כמו גם ממאות חברות אבטחה, תוכנה ואינטרנט בולטות.

החוק Cyber Intelligence Sharing and Protection Act, או CISPA בקיצור, נועד לסייע לגופי ממשל, חברות וארגונים פרטיים להתמודד מול איומי סייבר: האקרים, וירוסים, פרצות אבטחה וכדומה. המטרה המרכזית והראשונית של החוק היא לאפשר לגופי אכיפת חוק וביטחון לשתף בזמן אמת מידע קריטי על תקיפות סייבר, פרצות בתוכנות ובמוצרים נוספים ובינם לבין עצמם ועם חברות פרטיות. מדובר בנושא שמומחי אבטחה מסכימים שהוא הוא קריטי לפעמים כדי לבלום וירוסים והתקפות שונות בעודן מתרחשות, ולהפקת לקחים וללמידה לקראת מתקפות נוספות.

בעוד שארגוני זכויות אזרח שונים מתנגדים נחרצות לחוק כפי שהוא עבר, הוא זוכה גם לתמיכה רחבה ממאות חברות שונות שעומדות מדי יום מול איומים, ובהן סימנטק, מיקרוסופט ולוקהיד מרטין, יצרנית ה-F-35, המטוס החמקן שעתיד להגיע גם לשורות חיל האוויר הישראלי. פריצת האקרים למחשביה של לוקהיד מרטין הדליקה נורה אדומה גם בממשל האמריקאי. היא לא היתה היחידה. כמותה דווחו עוד פריצות מחשבים רבות, כמו פריצות לנאס"א ולחברות, וגופים חשובים אחרים בתחום האבטחה והביטחון.

למרות התמיכה, לפחות בחלק מהמקרים, גם החברות התומכות ב-CISPA מודעות לבעייתיות של נוסח החוק. אחת התומכות היא פייסבוק שיצאה בהודעה פומבית בנושא רק החודש - הודעה שהובילה לקיתונות ביקורת על החברה מצד גולשים. "הגנה מוצלחת נגד שחקנים רעים גם מצריכה שיהיה לנו מידע בזמן על איומי סייבר", כתבה פייסבוק. "אתגר אחד שעמד בפנינו ובפני חברות אחרות היה היכולת שלנו לשתף מידע בין החברות על התקפות סייבר. כשחברה אחת מזהה התקפה, שיתוף המידע על אותה התקפה במהירות עם חברות אחרות יכול לסייע להגנה על אותן חברות ועל המשתמשים שלהן". פייסבוק התייחסה גם לקווים המעורפלים שבהם נוסח החוק, וציינה כי היא פועלת מול מחוקקים וקבוצות שונות להגנת הצרכן כדי לערוך שינויים בחוק.

צילום: אי-פי

המקטרגים, שלא מערערים בהכרח על נחיצות החוק עצמו, טוענים עם זאת כי הניסוח המעורפל שלו וההגדרת הרחבות שלו עלולות לאפשר לגורמים שונים לנצל אותו למטרות שלשמן לא נועד. "CISPA הולך רחוק מדי כמעט בלי סיבה. אבטחת מידע אין פירושה ויתור על הפרטיות המקוונת של אמריקאים. כפי שכבר ראינו פעמים רבות, ברגע שהממשלה מקימה רשויות ביטחון לאומי יקרות, אין דרך חזרה. אנו קוראים לסנאט לתת לחוק הנוראי הזה להתפוגג", הסבירו באיגוד לזכויות האדם (ACLU).

החשש: החוק הרזה ימוטט את חקיקת הפרטיות

עו"ד ד"ר נמרוד קוזלובסקי, מומחה לטכנולוגיה ומשפט, הסביר כי במקרה של החוק נוצר מתח בין הצורך האמיתי במידע כדי להתמודד עם איומי סייבר, לחשש מפני פגיעה בפרטיות. כותביו לא יצרו תשתית נכונה כדי להתמודד עם המתח הזה.

"החוק שנוצר לא כולל בתוכו את האיזונים והבלמים הנדרשים, ולא קובע איך יועבר המידע ולמי הוא יועבר, ואיזה סוג מידע אפשר להעביר. כתוצאה מכך, ארגוני הגנת האזרח טוענים שהחוק בעצם מוחק את רוב חוקי הגנת הפרטיות, וממוטט כמעט את כל תשתית הפרטיות שנבנתה במשך עשרות שנים".

"מקדמי החוק החליטו ללכת על חקיקה מאוד רזה וקצרה. בניסיון להעביר את החוק מהר" אומר קוזלובסקי, אבל האירוניה היא שדווקא הניסוח הרזה שלהם, שלא ייצר ערובות ובלי להסביר מה יהיה המנגנונים לשיתוף המידע, הוא שעורר הכי הרבה התנגדויות.

אחד הארגונים הוא המרכז לדמוקרטיה וטכנולוגיה (CDT), שהציע מודל חלופי שבו יוגדר בדיוק איזה מיד יותר לשתף - בעיקר לוגים ופרצות בתוכנות וטכנולוגיות, ושיהיה ברור שהמידע שישותף יוכל לשמש למטרה אחת בלבד - אבטחת מידע. זאת כדי שלא תיווצר זליגה של מידע שישמש למטרות אחרות כמו ריגול אחרי אזרחים. בנוסף הם קראו להקים גוף אחד שישמש צומת לקבלת והעברת המידע ולהשית כללים מאוד ברורים לניהול ופיקוח על הנושא. לאחר העברת החוק המרכז הוציא הודעה המצרה על ההחלטה, ובעיקר על כך שבית הנבחרים חסם שני תיקונים בנושא "המעבר של המידע ישירות מהסקטור הפרטי לגוף הביון הטכנולוגי, ה-NSA, והשימוש במידע למטרות ביטחון לאומי שאינן קשורות לביטחון סייבר". עם זאת הם בירכו על קבלת חלק מהתיקונים שהוצעו במטרה להגביל את החוק.

ההתנגדויות לא מוגבלות רק לנושא החדירה לפרטיות. גולשים וארגונים רבים חוששים גם כי בעקבות הצלחת הקמפיין המאסיווי באינטרנט נגד החוקים למלחמה הפיראטיות - PIPA ו-SOPA, שכלל בין היתר את החשכת ויקיפדיה ואתרים רבים נוספים ועצומות רבות. החוק החדש ישמש דלת אחורית לבלימה של שיתוף קבצים ולמעקב אחרי חשודים בשיתוף ובהורדות לא חוקיות.

ומה המצב בארץ?

קוזלובסקי מסביר כי "בארץ אנחנו שנות דור אחורה במצב המשפטי. המערכת המשפטית הישראלית לא משוכללת מספיק כדי להסדיר באמת את הדרך שבה גופי מודיעין וממשל ניגשים למידע ומשתמשים בו. אנחנו חיים תחת לקונה במתכוון בנושא הסדרת סמכויותיהם של גורמי ביטחון וביון, ובעצם אנחנו חיים עם עצימת עין כלפי סוגי המידע שגופי הביון והמודיעין אוספים כחלק מעבודתם. זה כמעט לא שיח שאנחנו מנהלים ברמה המשפטית".

גם שיתוף המידע בארץ נמצא הרחק מאחורי ארה"ב, הוא מסביר. גופי המודיעין הישראלים, שמחשיבים את החשאיות מעל הכל, כמעט לא נוהגים לשתף מידע עם חברות פרטיות. מן העבר השני, גם במגזר הפרטי לא נבנתה תשתית לשיתוף מידע.

אבל, הוא אומר, ההשלכות של החקיקה הזו לא תוגבל לארה"ב בלבד. "הרבה מאוד מחברות אבטחת המידע יושבות בארה"ב או שהפעילות המרכזית שלהם בארה"ב - אנחנו נגלה שדה פקטו זה משנה את כללי המשחק לכל העולם".

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ