CISPA is de afkorting voor Cyber Intelligence Sharing and Protection Act. Het is een Amerikaans wetsvoorstel dat in de strijd tegen cybercrime meer richting moet geven aan het delen van informatie over onder meer aanvalstypen van kwaadwillenden, maar ook over de mate van beveiliging die bedrijven en overheden hanteren en over gezamenlijke maatregelen die kunnen worden ontplooid ter bescherming van systemen tegen aanvallen.

In eerste instantie werd er in het wetsvoorstel ook gesproken over de bescherming van intellectueel eigendom en de bestrijding van schendingen daarvan, maar dat is na een amendement verdwenen.

Nadruk op delen van informatie

De Amerikaanse politiek en het bedrijfsleven hebben in de aanloop naar de stemming over CISPA, aankomende week, vooral de nadruk gelegd op het delen van informatie over cyberbedreigingen en de voordelen daarvan in de bestrijding van cybercriminelen. Tegenstanders van het wetsvoorstel zien er echter censuurpogingen in die eerder al zijn voorgekomen in de gefaalde wetsvoorstellen SOPA en PIPA eerder dit jaar.

CISPA is net als SOPA en PIPA een zo geheten “bipartisan" wetsvoorstel, wat zoveel betekent dat politici van zowel Republikeinse als Democratische achtergrond samen met het bedrijfsleven en het voorstel indienen dan wel actief steunen. In de afgelopen weken zijn er enkele amendementen ingediend en ook voor de behandeling van voorstel aankomende week worden nog wijzigingsvoorstellen verwacht.

Bedrijfsleven is massaal voor wet

In de afgelopen weken hebben veel voorstanders van het wetsvoorstel zich laten horen, vooral uit het bedrijfsleven. Daarbij wordt vooral gewezen op de in velerlei ogen onmisbare informatie-uitwisseling tussen overheid en bedrijfsleven. Die uitwisseling is niet verplicht wederkerig overigens. De overheid verplicht zich binnen deze wet wel tot actie uitwisseling met geautoriseerde deelnemers, maar die hoeven vervolgens niet verplicht allerlei informatie af te staan aan de overheid.

Althans, dat is onder meer de argumentatie van Facebooks beleidschef Joel Kaplan, die daar een week geleden een blogposting aan wijdde. “Het wetsvoorstel maakt het makkelijker voor bedrijven als Facebook om informatie te krijgen van de Amerikaanse overheid over kritieke bedreigingen", schreef Kaplan. “Meer belangrijk, het wetsvoorstel legt geen nieuwe verplichtingen op om informatie te delen met wie dan ook, en als er data wordt gedeeld over cyberbedreigingen zijn we nog steeds in staat de privé-informatie van onze gebruikers te beschermen."

Oproer tegen Facebook

Maar critici vinden de ondersteuning van Facebook voor CISPA verdacht, schrijft TechCrunch, omdat het bedrijf wel openlijk tegen SOPA was. Op diverse fora ontstonden spontaan petities waarin Facebook werd opgeroepen af te zien van zijn steun aan CISPA, onder meer op pagina's van het sociale netwerk zelf. Ook is er een Nederlandse FB-pagina waarop gebruikers wordt opgeroepen het sociale netwerk te verlaten.

Op de website van het Amerikaanse Huis van Afgevaardigden, en dan specifiek op de pagina van de commissie voor Veiligheid, is een lijst met ondersteunende verklaringen te lezen van vooral commerciële bedrijven. Onder meer IBM, AT&T, Verizon, Microsoft, EMC en heel wat vertegenwoordigende organisaties laten daarin hun goedkeuring blijken.

Enkele punten uit het voorstel

Wat staat er nu precies in het wetsvoorstel? Op een pagina van de commissie van Veiligheid wordt een korte opsomming gegeven. Zo moeten landen als China worden bestreden als die een cyberaanval doen op de “banen creërende" Amerikaanse bedrijven, door het verstrekken van informatie vanuit de overheid aan het bedrijfsleven. De federale overheid mag toegang tot bepaalde websites niet verbieden, geen censuur toepassen en geen verplichting opleggen aan bedrijven om bepaalde content te verwijderen.

De privacy van Amerikaanse burgers moet worden beschermd door “Washington" te verbieden commerciële bedrijven te verplichten informatie te overhandigen. Volgens het Huis van Afgevaardigden vormt het wetsvoorstel geen basis om nieuwe overheidsregels of mandaten vast te stellen die de mogelijkheid bieden voor het “monitoren of hoeden van privénetwerken."

Niemand aansprakelijk voor schade door delen data

Wat onder meer zorgen baart, schrijft Mashable, is dat er een aansprakelijksheidsclausule wordt voorgesteld waarin is opgenomen dat zowel bedrijven als overheid niet kunnen worden aangesproken op schade die eventueel wordt veroorzaakt door het gebruik van informatie via deze wet.

Dat kan bij hoge uitzondering als er kan worden aangetoond dat die informatie bewust is misbruikt met als doel die schade aan te richten en dat er geen wettelijke gronden waren om dat te doen. Ook moet aangetoond worden dat de aangerichte schade groter is dan de behaalde voordelen door het gebruik van die data.

'Wetsvoorstel is gevaarlijk onduidelijk'

Maar niet alleen die bepaling stuit vechters voor internetvrijheid tegen de borst. Volgens Rebecca Jeschke van de Electronic Frontier Foundation staat het wetsvoorstel vol vage termen die zo breed kunnen worden uitgelegd als de praktijk nodig acht. Zij eist een strakkere afkadering en spreekt van slechte regelgeving.

“Wij willen dat het Congress deze regelgeving afwijst, omdat het gevaarlijk vaag taalgebruik bevat om de reikwijdte van de informatie die kan worden gedeeld met de overheid te definiëren", zegt ze tegen Mashable. “Het draagt de zeggenschap over Amerika's cyberveiligheid en -defensie over aan de National Security Agency."