La Ley de Intercambio de Información sobre Ciberseguridad ( CISA S. 2588 113.º Congreso , S. 754 114.º Congreso ) es una ley federal de los Estados Unidos diseñada para "mejorar la ciberseguridad en los Estados Unidos mediante un mayor intercambio de información sobre amenazas a la ciberseguridad y para otros fines". [1] La ley permite compartir información sobre el tráfico de Internet entre el gobierno estadounidense y las empresas de tecnología y fabricación. El proyecto de ley se presentó en el Senado estadounidense el 10 de julio de 2014 y se aprobó en el Senado el 27 de octubre de 2015. [2] Los opositores cuestionan el valor de la CISA, creyendo que trasladará la responsabilidad de las empresas privadas al gobierno, aumentando así la vulnerabilidad de la información privada personal , además de dispersar la información privada personal entre siete agencias gubernamentales, incluida la NSA y la policía local.
El texto del proyecto de ley se incorporó mediante enmienda a un proyecto de ley de gastos consolidado en la Cámara de Representantes de Estados Unidos el 15 de diciembre de 2015, [3] que fue firmado como ley por el presidente Barack Obama el 18 de diciembre de 2015. [4]
La Ley de Intercambio de Información sobre Ciberseguridad se presentó el 10 de julio de 2014, durante el 113.º Congreso, y fue aprobada por el Comité de Inteligencia del Senado con una votación de 12 a 3. [5] El proyecto de ley no alcanzó la votación del pleno del Senado antes del final de la sesión del Congreso.
El proyecto de ley fue presentado nuevamente en el 114.º Congreso el 12 de marzo de 2015, y fue aprobado por el Comité de Inteligencia del Senado con una votación de 14 a 1. [6] El líder de la mayoría del Senado, Mitch McConnell (R-KY), intentó adjuntar el proyecto de ley como una enmienda a la Ley de Autorización de Defensa Nacional anual , pero fue bloqueado por 56 a 40, sin alcanzar los 60 votos necesarios para incluir la enmienda. [7] [8] Mitch McConnell esperaba llevar el proyecto de ley a votación en todo el Senado durante la semana del 3 al 7 de agosto, [9] pero no pudo abordar el proyecto de ley antes del receso de verano. El Senado acordó tentativamente limitar el debate a 21 enmiendas particulares y una enmienda del gerente, [10] pero no estableció límites de tiempo para el debate. En octubre de 2015, el Senado de los EE. UU. retomó el proyecto de ley después de la legislación sobre las ciudades santuario . [11]
Las principales disposiciones del proyecto de ley facilitan a las empresas compartir información personal con el gobierno, especialmente en casos de amenazas a la seguridad cibernética. Sin exigir que se comparta esa información, el proyecto de ley crea un sistema para que las agencias federales reciban información sobre amenazas de empresas privadas. [12]
En lo que respecta a la privacidad , el proyecto de ley incluye disposiciones para impedir el intercambio de datos personales que no sean relevantes para la seguridad cibernética. [13] Toda información personal que no se elimine durante el procedimiento de intercambio puede utilizarse de diversas maneras. Estos indicadores de amenazas cibernéticas compartidos pueden utilizarse para procesar delitos cibernéticos, pero también pueden utilizarse como prueba para delitos que impliquen fuerza física. [13]
Compartir datos sobre amenazas de inteligencia nacional entre socios públicos y privados es un problema difícil y preocupante para muchos. El proyecto de Intercambio de información sobre amenazas de inteligencia nacional (NITS, por sus siglas en inglés) se concibe como una solución innovadora a este difícil problema. En conjunto, NITS es innovador y útil, pero primero, para garantizar que NITS sea confiable, los socios privados deben ser indemnizados. La indemnización requiere una ley del Congreso, literalmente.
El impedimento subyacente para una cooperación más plena entre compradores, vendedores y pares dentro de una cadena de suministro es la indemnización . La indemnización es necesaria para proteger a los socios de la industria de la responsabilidad legal por sus acciones. Lamentablemente, la negativa del Congreso a ofrecer indemnización sigue siendo un impedimento para la colaboración real. Al menos se debería conceder una inmunidad calificada. Se trata de la inmunidad de las personas que realizan tareas como parte de las acciones del gobierno.
La CISA ha recibido cierto apoyo de grupos de defensa, entre ellos la Cámara de Comercio de los Estados Unidos , [14] la Asociación Nacional de Cable y Telecomunicaciones y la Mesa Redonda de Servicios Financieros . [13]
Varios grupos empresariales también se han opuesto al proyecto de ley, incluida la Asociación de la Industria de Computación y Comunicaciones [15] , así como empresas individuales como Twitter , Yelp , Apple y Reddit . [16]
BSA (The Software Alliance) inicialmente pareció apoyar a CISA, enviando una carta el 21 de julio de 2015, instando al senado a llevar el proyecto de ley a debate. [17] El 14 de septiembre de 2015, la BSA publicó una carta de apoyo, entre otras cosas, a la legislación sobre intercambio de información sobre amenazas cibernéticas dirigida al Congreso, firmada por los miembros de la junta Adobe , Apple Inc. , Altium , Autodesk , CA Technologies , DataStax , IBM , Microsoft , Minitab , Oracle , Salesforce.com , Siemens y Symantec . [18] Esto impulsó al grupo de defensa de los derechos digitales Fight for the Future a organizar una protesta contra CISA. [19] Después de esta campaña de oposición, BSA declaró que su carta expresaba su apoyo a la legislación sobre intercambio de amenazas cibernéticas en general, pero no respaldaba CISA, ni ningún proyecto de ley pendiente sobre intercambio de amenazas cibernéticas en particular. [20] [21] BSA declaró más tarde que se opone a CISA en su forma actual. [22] La Asociación de la Industria de Computación y Comunicaciones , otro importante grupo comercial que incluye miembros como Google , Amazon.com , Cloudflare , Netflix , Facebook , Red Hat y Yahoo !, también anunció su oposición al proyecto de ley. [23]
Entre los defensores de la CISA se incluyen los principales copatrocinadores del proyecto de ley, los senadores Dianne Feinstein (demócrata por California) y Richard Burr (republicano por Carolina del Norte). [11]
Algunos senadores han anunciado su oposición a la CISA, entre ellos Ron Wyden (demócrata por Oregon), Rand Paul (republicano por Kentucky) y Bernie Sanders (independiente por Vermont). [24]
El senador Ron Wyden (demócrata por Oregón) ha objetado el proyecto de ley basándose en una opinión legal clasificada del Departamento de Justicia escrita durante los primeros años de la administración de George W. Bush . La administración Obama afirma que no se basa en la justificación legal expuesta en el memorando. [25] [26] Wyden ha hecho reiteradas solicitudes al Fiscal General de los Estados Unidos para que desclasifique el memorando, [27] que se remontan al menos a cuando un informe de la Oficina del Inspector General de 2010 citó el memorando como justificación legal para el programa de escuchas telefónicas sin orden judicial del FBI. [28]
El 4 de agosto de 2015, el portavoz de la Casa Blanca, Eric Schultz , respaldó la legislación y pidió al Senado que "considerara este proyecto de ley lo antes posible y lo aprobara". [29]
El Departamento de Seguridad Nacional de los Estados Unidos inicialmente apoyó el proyecto de ley, y Jeh Johnson , el secretario del DHS, pidió que el proyecto de ley avanzara el 15 de septiembre. [30] Sin embargo, en una carta del 3 de agosto al senador Al Franken (demócrata por Minnesota), el subsecretario del DHS, Alejandro Mayorkas , expresó su deseo de que todas las conexiones fueran intermediadas por el DHS, dada la carta del departamento de proteger las redes del poder ejecutivo. En la carta, el DHS encontró problemas con el intercambio directo de información con todas las agencias gubernamentales, y abogó en cambio por que el DHS sea el único receptor de la información sobre ciberamenazas, lo que le permitiría eliminar la información privada. [31] Además, el Departamento de Seguridad Nacional ha publicado una Evaluación del Impacto de la Privacidad que detalla su revisión interna del sistema propuesto para manejar los indicadores entrantes de la Industria. [32]
Los defensores de la privacidad se opusieron a una versión de la Ley de Intercambio de Información sobre Seguridad Cibernética, aprobada por el Senado en octubre de 2015, que dejó intactas partes de la ley que, según dijeron, la hacían más susceptible a la vigilancia que a la seguridad real, al tiempo que eliminaba silenciosamente varias de sus protecciones de privacidad restantes. [33] La CISA ha sido criticada por defensores de la privacidad en Internet y las libertades civiles , como la Electronic Frontier Foundation y la American Civil Liberties Union . [34] [35] Se la ha comparado [¿ por quién? ] con las criticadas propuestas de la Ley de Intercambio y Protección de Inteligencia Cibernética de 2012 y 2013, que fueron aprobadas por la Cámara de Representantes de los Estados Unidos, pero no por el Senado. [36]
Política del gobierno del Reino Unido: ciberseguridad
El intercambio de información del Gobierno escocés