Lovgiverne i USA har arbeidet lenge med å få til en enhetlig lovgivning rundt kybersikkerhet. Sentrale dokumenter er presentert på nettsiden Cybersecurity til senatskomiteen for innenrikssikkerhet. De eldste går tilbake til september 2009.
I de innledende rundene har forslagsstillere greid å samarbeide på tvers av partigrensene. Det foreligger nå et revidert utkast som støttes av fire sentrale senatorer, to fra hvert parti.
Hensikten med lovforslaget er å samle alt som har med kybersikkerhet i én lov. Det innebærer at den ikke bare skal regulere sårbarhet og sikre vern mot kyberkriminalitet og kyberterror. Den skal også sørge for fri informasjonsutveksling og personvern. Loven vil avgjøre hva slags vern enkeltpersoner i USA skal ha mot overvåkning og hvilke vilkår som skal stilles når politi og sikkerhetsorganer søker innsyn i folks digitale kommunikasjon. Loven vil videre gripe inn i debatten om innkjøp av utenlandsk utstyr beregnet på nettverk innen og mellom offentlige organer.
Lovutkastet er på mange hundre sider. En utgave fra februar i år er gjenstand for en to-siders oppsummering. Utkastet som skal debatteres av senatet fra neste uke ble publisert i går.
Teksten viser til stadig mer omfattende kyberangrep mot både amerikanske selskaper og offentlige organer.
– Landets mest kritiske infrastruktur kan nå manipuleres eller angripes av ondsinnede aktører på den andre siden av kloden. Ødeleggelsen eller utnyttelsen av kritisk infrastruktur gjennom et kyberangrep, det være seg et kjernekraftverk, en regional vannforsyning eller et større finansmarked, kan ramme amerikansk økonomi, nasjonale sikkerhet og vår livsstil, svært hardt, heter det.
Mot denne «eksistensielle trusselen» skal lovutkastet reise flere typer vern.
Departementet for innenrikssikkerhet (Homeland Security) skal pålegges å samle privat sektor, etterretningsorganisasjoner og andre til en felles vurdering av risiko knyttet til ulike sektorer, og fastslo hvor risikoen er størst og mest overhengende.
Ut fra denne risikoanalysen skal det utarbeides minimumskrav til kybersikkerhet i kritisk infrastruktur, det vil si der kyberangrep eller kybersvikt kan tenkes å føre til alvorlig fare for nasjonens sikkerhet, massedød eller evakueringer i stor målestokk.
For å sikre en positiv holdning fra IKT-bransjen, understrekes det at lovutkastet vil forby myndighetene fra å regulere hvordan IKT-produkter konstrueres eller utvikles.
Sentrale avsnitt tar sikre på å sikre tilgang på informasjon om kybertrusler samtidig som personvern og borgerlige rettigheter ivaretas. Det skal etableres rammeverk for innhenting og deling av informasjon mellom privat og offentlig sektor, med de begrensningene personvernet krever.
Det settes spesielle krav til bedre kybersikkerhet i nettverket knyttet til sentral og lokal forvaltning, med skjerpede krav til risikohåndtering og jevnlig avholdelse av øvelser. Denne beredskapshevingen skal også prege offentlige innkjøp.
Lovutkastet skal videre klargjøre rollen til ulike sentrale organer for å fremme effektivitet og ansvarliggjøring. Rekruttering av IT-personell i offentlige organer er gjenstand for nye og skjerpede regler. Det slås fast at det skal opprettes et koordinert program for forskning og utvikling innen kybersikkerhet.
Gitt hvordan tidligere lover for å verne om rikets sikkerhet har åpnet for overgrep mot personvernet og undergraving av borgerlige rettigheter, har borgerrettsorganisasjoner som ACLU (American Civil Liberties Union) forståelig nok vært skeptiske.
ACLU skriver på sitt nettsted at en første gjennomgang av det reviderte utkastet tyder på at personvernet er styrket.
De peker på krav i loven om at selskaper som deler kybersikkerhetsinformasjon med myndighetene overrekker den til sivile og ikke militære organer. Det betyr at «de militære ikke slippes løs mot Amerikanere og internett». Informasjonen som deles skal kun dreie seg om det som er nødvendig for å beskrive en kybersikkerhetstrussel. Myndighetene skal bare kunne bruke informasjonen for kybersikkerhetsrelaterte formål, forfølge kyberkriminelle, verne mennesker mot imminent fare og beskytte barn mot alvorlige trusler.
Formuleringer i lovutkastet sikrer også offentlig innsyn i at reglene for håndtering av personopplysninger knyttet til deling av kybersikkerhetsrelatert informasjon ivaretas. Ved brudd på loven gis enkeltindivider anledning til å gå til søksmål.
ACLU understreker at det under debatten i senatet i neste uke kan ventes tilleggsforslag som undergraver personvernet. De lover å følge med.
Årvåkenheten til ACLU kan knyttes til en skandale som er under oppseiling vedrørende adgangen FBI har under det nåværende lovverket til å ilegge teleselskaper og internettilbydere munnkurv når de rekvirerer trafikkdata og kundeopplysninger.
Wall Street Journal tok 27. juni i år opp FBIs såkalte «national security letters» («NSL») som det sendes mange tusen av i året. Her ber FBI om noe mer enn bare trafikkdata. Nøyaktig hva de har anledning til å be om, er ikke oppgitt.
Munnkurv for teleselskapene betyr at de ikke en gang har lov til å opplyse om de har mottatt en NSL.
Bare to tilfeller er kjent der et teleselskap har nektet å føye seg. Bare i ett tilfelle er navnet på teleselskapet kjent. Avisen forteller historien i artikkelen What It’s Like to Fight a National Security Letter som ble publisert tirsdag denne uken.
Historien om det ukjente teleselskapet som nektet, beskrives i denne artikkelen: Covert FBI Power to Obtain Phone Data Faces Rare Test.
Dette selskapet fikk et hemmelig stemplet NSL tidligere i år. De nektet å utlevere opplysningene FBI ba om, og gikk til sak. USAs justisdepartement svarte med et sivilt søksmål mot selskapet. I søksmålet heter det at teleselskapet «skader USAs nasjonale interesser» ved ikke å føye seg.
Fordi selskapet ikke er kjent (skjønt avisen redegjør for hvilket de tror det dreier seg om), og fordi personen som mottok brevet fra FBI ikke har lov til å si noe som helst, gis det begrenset innsyn i rettsdokumentene, selv for en så mektig avis som Wall Street Journal. Avisa har publisert det de har fått, med sladd.
Avisa avdekker at NSL er et fenomen fra 1980-tallet. Bruken ble trappet opp etter terrorangrepene 11. september 2001 og vedtaket av loven kjent som Patriot Act, som ga myndighetene utvidede fullmakter til å innhente informasjon. Mottakeren av et NSL plikter å overgi all informasjon FBI ber om, uten annen begrunnelse enn at en lokal FBI-sjef bekrefter at informasjonen er påkrevet av hensyn til en pågående etterforskning. Det er ikke nødvendig for det føderale politiet å innhente tillatelse fra en rettsinstans. Mellom 2003 og 2006 ble det sendt i underkant av 200 000 brev av denne typen.
Av de usladdede delene av rettsdokumentene om den pågående striden mellom det anonyme teleselskapet og FBI, går det fram at noe av det teleselskapet hevder, er at FBI bryter loven ved å kreve de aktuelle opplysninger uten at kravet er godkjent av en domstol.
Dersom Cybersecurity Act forblir i sin nåværende form, er det nettopp denne typen praksis som FBI må endre.