Banner topo

CISA/CISPA - Cybersecurity Information Sharing Act


Você deve se lembrar do quiproquó que foi, entre 2011 e 2013, quando o congresso norte-americano tentou aprovar leis anti-pirataria e de proteção a propriedade intelectual para a Internet que, na verdade, iriam acabar com a já extremamente precária capacidade de privacidade na Internet, criando artifícios legais para o monitoramento, análise e custódia de 100% do tráfego de Internet pelo governo norte-americano criando uma situação de sítio na Internet, implementando o verdadeiro Big Brother e fazendo do livro "1984" algo não mais literário, mas sim profético.

Estas leis eram chamadas de PIPA e SOPA, e se você não se lembra bem delas pode ler este artigo que explicava superficialmente do que se tratavam. Naquela ocasião a opinião pública e de empresas peso-pesado da Internet como Google, Facebook e Wikipedia, assim como de grupos a favor da privacidade e de alguns senadores norte-americanos, pesou e as mesmas não foram aprovadas no Senado mesmo tendo sido aprovadas no congresso. A própria Casa Branca havia divulgado uma nota dizendo não apoiar estas leis por entender que elas limitavam a liberdade de expressão dos cidadãos, de tão gritantemente ruim que era a lei.

Porém, eis que agora surge uma nova lei controversa no mesmo sentido, já apelidada de CISA (Cybersecurity Information Sharing Act). O texto base da lei parece ser simples e diz mais ou menos o seguinte:

A lei permitirá o compartilhamento de informações obre o tráfego de Internet entre o governo dos Estados Unidos e companhias de Internet.

O grupo de trabalho https://www.fightforthefuture.org, assim como no caso do SOPA e do PIPA já está em campanha para pressionar os congressistas e senadores a não aprovar essa lei, que entrará em votação nas próximas semanas. Eles já enviaram mais de 6 milhões de faxes para o congresso em uma clara manifestação popular contra essa lei, no que eles chamam de "Operation: #FaxBigBrother".

Por que eles e vários outros grupos estão tão preocupados com a aprovação desta lei e lutam com tanta energia para impedir sua aprovação?

Basicamente o grupo destaca os seguintes perigos:

A Agência de Segurança Nacional (NSA) será beneficiada em demasia por tal lei pois legalizará de certa forma a coleta em massa de novos dados do povo dos EUA, permitindo ainda que estes mesmos dados sejam compartilhados entre todas as agências governamentais sem nenhum aviso. Na verdade isso se aplica a qualquer dado trafegado ou armazenado em qualquer  datacenter ou backbone de Internet que esteja fisicamente em território norte-americano independente do usuário ser cidadão norte-americano ou não. Ou seja: quase que a totalidade dos dados do mundo - por exemplo, seus e-mails no GMail estão armazenados em um servidor em um datacenter que não está no Brasil, mas provavelmente nos EUA.

Em 2012 Edward Snowden revelou que o Departamento de Justiça Norte Americano secretamente autorizou a NSA a monitorar o tráfego da Internet em busca de possíveis ataques cibernéticos (e tráfegos suspeitos de promover ataques). Ou seja, visa a obtenção de dados de hackers e cyber-terroristas.

Atualmente a NSC não deve ter muitos dados neste sentido porque os mesmos são privados e estão em possa de empresas privadas que prestam serviços aos cidadãos dando-os acesso a Internet (provedores de acesso). Hoje, caso o governo deseje obter os dados, deve seguir a via judicial, e mediante mandato, a empresa fornece os dados, assim como é feito no Brasil atualmente.

Com o CISA as empresas terão que abrir seus dados de monitoramento de seus tráfegos (de seus usuários) e aqueles com indicadores de risco cibernético (tráfegos classificados pelos seus respectivos setores de segurança digital como possíveis ataque que um de seus usuários esteja desempenhado) deverão ser enviados ao Departamento de Segurança Interna (DHS), garantido a estas empresas imunidade legal contra qualquer lei de vigilância que venha a ser aprovada.

As empresas seriam assim autorizados a enviar os dados pessoais de seus usuários nas informações com certo grau de risco de segurança que fornecerem ao governo. Mas não para por ai. Na verdade, esta lei permite o monitoramento em massa de forma oculta e promove um meio obscuro de criar um banco de dados gigantesco com informações de virtualmente qualquer pessoa.

Segundo o CISA, qualquer informação compartilhada com o governo dentro do escopo desta lei poderá ser usada para ativar uma série de poderes legais da NSA. Como foi revelado pelos documentos de Snowden, os indicadores de segurança cibernética podem ser usados pela NSA como índice de pesquisa para a interceptação sem mandato de dados diretamente dos backbones da Internet. Estes índices — coisas como endereços de e-mail, endereços IP, faixas de IP, números de telefone, ou trechos de códigos de computador — são usados para selecionar e extrair dados do tráfego da Internet.

O mais perigoso de tudo é que todos os dados "acidentalmente" capturados nesse processo que não sejam de fato diretamente ligados à ameaça investigada (incluindo todo e quaisquer dado pessoal que tenha sido hackeado ou obtido como parte do ataque cibernético), pode ser indefinidamente retida pela NSA. Esta pode ser uma enorme quantidade de dados caso a ameaça (ataque investigado) envolva uma empresa como o Google, o Bank of America, ou a AT & T. Por exemplo: em um ataque em larga escala contra o Google alguém tenta obter todos os dados de milhões de usuários dessa empresa, a princípio todos estes dados podem ser obtidos e guardados pela NSA).

Isso gerará uma base de dados sobre qualquer pessoa, que poderá ser pesquisada pela NSA, FBI e qualquer outra agencia do governo, em qualquer uso que desejem, sem a necessidade de mandato judicial, mesmo que a pessoa não seja considerada suspeita pela justiça em algum caso de investigação criminal, por exemplo.

Quem garantirá a integridade e uso correto destes dados? Quem garantirá que estes dados não serão repassados a empresas de seguro, hospitais, financeiras e outras que poderiam usá-los para fins diversos que iriam desde a simples propaganda direcionada até a alteração de cálculos de preço de seguros e taxas de empréstimo? E se você trocar um e-mail com um amigo dizendo que tem uma doença grave e seu seguro médico resolver subir sua mensalidade por causa disso?

Os problemas da não privacidade não param por ai. A liberdade de expressão seria tolhida, a livre manifestação política seria auto-censurada, e informações de caráter pessoal poderiam ser usadas contra as próprias pessoas em diversas situações, mesmo que não seja algo criminoso. Imagine uma pessoa que por algum motivo esconde de todos que é homossexual, mas que ao mesmo tempo é ativista anti-governo. Imagine essa informação sendo usada para chantageá-lo ou prejudicá-lo de alguma forma emocional ou ética (por exemplo, revelando isso a seus pais que são extremamente conservadores).

Enfim, o debate sobre o que é melhor (ou menos pior) entre segurança (com o fim da privacidade) e liberdade (com a total garantia dessa) é um assunto extremamente complexo e polêmico e vai ser um dos fatores determinantes quanto o rumo que a civilização humana tomará nas próximas décadas. Não importa qual lado vença, nossa vida mudará para sempre.

Postar um comentário

0 Comentários