CISPA não representa uma ameaça à privacidade apenas dos usuários individuais. Qualquer empresa que use um serviço na cloud pode ter seus dados expostos.
Os opositores do CISPA, como a ACLU (American Civil Liberties Union) e a EFF (Electronic Frontier Foundation), têm-se centrado quase exclusivamente sobre o impacto potencial do projeto de lei de cibersegurança sobre a privacidade de cada usuário, e de forma compreensível. Mas uma leitura atenda do texto do CISPA aprovado semana passada na Câmara dos Estados Unidos, revela que a privacidade individual na internet não é tudo o que estaria em perigo se for aprovada como está pelo Senado e escapar do veto do presidente norte-americano Barack Obama.
O CISPA representa uma ameaça para a privacidade de organizações inteiras, de entidades sem fins lucrativos às empresas de todos os portes, e até mesmo para o próprio futuro da computação em nuvem.
Baseando-se na linguagem exata do projeto, o CISPA permitiria que “entidades certificadas e prestadores de serviços e produtos de cibersegurança” troquem ‘voluntariamente’ qualquer dado de clientes com outras entidades certificadas, contanto que os dados constituam uma “ameaça à inteligência cibernética” para “fins de segurança cibernética” – bem como por uma questão de “segurança nacional”.
Em poucas palavras, o governo federal americano e as “entidades credenciadas” poderiam trocar dados dos clientes livremente em nome da segurança, sem o devido processo e sem qualquer medo de represália sem que os seus supostos receios de segurança cheguem a ser completamente justificados. “As entidades certificadas” podem significar agências federais, outros órgãos e serviços públicos e até organizações privadas. Uma lista potencialmente longa de denunciantes.
“Os provedores de segurança cibernética” são os principais candidatos a assumirem o papel de fornecedores de dados sob o CISPA. Por definição do projeto de lei, isso significa que qualquer entidade privada que forneça bens ou serviços destinados a serem utilizados para fins de segurança cibernéticos. Isso também é um termo extremamente vago. Qualquer tipo de provedor de internet ou de serviço na nuvem oferece algum tipo de serviço de segurança cibernética, além do antivírus padrão, antispam e firewall.
Por exemplo, Google e Microsoft oferecem aplicativos de produtividade para e-mail, processamento de texto, planilhas, e assim por diante – e parte dos serviços inclui proteger os documentos dos clientes e as mensagens. Um provedor de acesso, como a Verizon ou a AT&T, protege os seus dados à medida trafegam dentro e fora da rede. Uma empresa de software como serviço (SaaS) como a Salesforce.com protege as informações de negócios dos clientes. Da mesma forma, os fornecedores de infraestrutura como serviço (IaaS) e de plataforma como serviço (PaaS) protegem os dados e processos de aplicação de seus clientes. A lista pode chegar a atingir instituições financeiras e sites de e-commerce e de redes sociais.
Importante, o texto do CISPA não especifica apenas os indivíduos quando menciona os clientes de provedores de segurança cibernéticos. Isso significa que se um provedor de segurança cibernética desconfiar que um de seus clientes esteja envolvido em práticas de negócios que possam constituir algum tipo de ameaça à segurança geral, o provedor pode passar os dados que tem sobre o suspeito. Estes dados podem incluir mensagens de e-mail, transações financeiras, histórico Web, informação dos clientes… Outra lista que, como a lista de participantes potenciais de dados, estende-se a perder de vista.
Os defensores do projeto de lei podem apontar para a parte que especifica que uma entidade não pode compartilhar dados de seus clientes, a menos que constitua uma ameaça cibernética ou uma ameaça à segurança nacional. Infelizmente, isso é muito subjetivo. Dependendo das suas inclinações políticas, entidades sem fins lucrativos – como certos grupos religiosos ou políticos – representam uma “ameaça à segurança nacional.”
Organizações de saúde que prestam serviços controversos como o aborto ou o tratamento com células-tronco poderiam ser consideradas uma ameaça. As empresas de mídia – como The New York Times ou a Fox News ou a CNN – podem representar ameaças à segurança em suas mentes dos críticas. As empresas privadas com clientes que estão potencialmente envolvidos em atividades suspeitas – digamos, uma empresa que faça negócios em países que não são aliados dos EUA – poderia ser interpretada como uma ameaça à segurança.
Mais uma vez, as possibilidades de se estender são imensas, porque a linguagem do projeto de lei é vaga. Os participantes têm o luxo de escolher que informações compartilhar, desde que possam moldá-las como uma ameaça à segurança.
Então, como pode a passagem de CISPA afetar o futuro da nuvem?
Bem, o CISPA poderia muito bem dissuadir qualquer organização privada consciente a desistir do uso da nuvem e de serviços baseados na Internet. Por que arriscar deixar a Microsoft ou a Google monitorarem e protegerem o e-mail do seu negócio, ou a Amazon ou a Rackspace protegerem seus dados, ou a Salesforce.com proteger os dados de seus clientes, sabendo que qualquer dia alguma delas pode passar seus dados confidenciais para os federais e outras “entidades” – algumas das quais podendo até mesmo serem seus concorrentes – em nome da segurança?
Há sempre uma chance de alguém com um caso de paranóia ou um dedo no gatilho ou disposto a alguma vingança decidir que os dados da sua organização representam uma ameaça à segurança e devam ser repassados. Sua organização está disposta a arriscar?
