Американские правозащитники выступают против закона о киберданных и защиты информации

Американские правозащитники выступают против закона о защите информации

Поборники неприкосновенности частной жизни готовятся к новому раунду борьбы против принятия законопроекта об обмене информацией, который, по их мнению, позволит частным компаниям помогать правительству США шпионить за американскими гражданами.



Речь идет о Законе об обмене киберданными и защите киберинформации. В прошлом году он был принят Палатой представителей, но не получил одобрения Сената. Конгрессмены Майк Роджерс и Датч Рупперсбергер надеются, что в этом году он все же будет принят. На дискуссии, посвященной вопросам кибербезопасности, проходившей в среду в Вашингтоне, они сообщили, что вновь вносят законопроект на рассмотрение.

«Если Палата представителей хочет принять разумный проект о кибербезопасности, который также защищает частную жизнь, то нужно, чтобы эти программы контролировались гражданскими структурами»
Из заявления Американского союза гражданских свобод.

Сторонники этого закона считают, что он поможет правительству защищать частные компании и федеральные ведомства от кибератак из таких стран, как Иран и Китай, а также хакерских групп, подобных Anonymous.

«Американская промышленность подвергается атакам, что обходится нашей стране и экономике в миллиарды долларов и тысячи рабочих мест, – заявил Рупперсбергер. – Нам нужно сделать все, чтобы американские компании могли защищать себя от этих разрушительных кибератак. Именно в этом и состоит суть нашего законопроекта – он позволяет добровольно обмениваться информацией о критических угрозах при одновременном сохранении важных гражданских свобод», сообщает cybersecurity.ru.

Однако эти заявления убеждают не всех.

В Американском союзе гражданских свобод (АСГС) считают, что законопроект позволит компаниям передавать щепетильную информацию об интернет-активности граждан Агентству национальной безопасности и Министерству обороны, не предпринимая никаких разумных усилий для защиты их частной жизни.

Представитель некоммерческой организации «Конституционный проект» Шэрон Брэдфорд Франклин в интервью газете Washington Post заявила о «порочности» закона. Она выразила обеспокоенность характером той информации, которую компании могут передавать правительству, отметив, что «Конгресс должен также обратить внимание на очень реальную угрозу, которую несет этот законопроект правам на тайну частной жизни и гражданским свободам американцев».

АСГС призывает американских граждан на борьбу за право на сохранение конфиденциальности своей активности в Интернете.

«Если Палата представителей хочет принять разумный проект о кибербезопасности, который также защищает частную жизнь, то нужно, чтобы эти программы контролировались гражданскими структурами, объем персональной информации, которой будут обмениваться правительство и корпорации, был минимальным, а также обеспечивалась защита от нецелевого использования собранной информации», – говорится в заявлении АСГС.

В среду законопроект вызвал многочисленные критические комментарии в Twitter.

Напомним, что в свое время Обама подписал указ, позволяющий таким частным компаниям, как Google, передавать приватную информацию о пользователях правительственным органам.

По своему содержанию законопроект идентичен документу, принятому Палатой представителей в прошлом году. Он позволит федеральному правительству предоставлять компаниям секретную информацию о киберугрозах, разрешит компаниям обмениваться информацией о киберугрозах с правительством и другими компаниями, и предусматривает ответственность для компаний, которые делятся или получают такую информацию.

Повторное внесение законопроекта произошло через день после того, как президент Барак Обама подписал новый указ о кибербезопасности, который позволяет правительству обмениваться информацией о киберугрозах с частными компаниями, работающими в ключевых инфраструктурных сферах государства, таких как банковская система, связь, энергетика и транспорт.

Хотя этот указ очень похож на спорный законопроект, в АСГС весьма позитивно оценили инициативу президента.

«Указ президента по определению не может отменить меры по защите права на тайну частной жизни, предусмотренные действующим законодательством, – говорится в заявлении Союза. – Иными словами, указ не делает для компаний исключения из существующих положений о конфиденциальности и не позволяет правительству собирать новую информацию. Он предполагает только изменение политики и практики в рамках существующих полномочий».

Тем не менее, Палата представителей и Сенат могут все же одобрить спорный законопроект. Тогда президент может воспользоваться правом вето, как он обещал в прошлом году, когда документ начал свое движение в Конгрессе.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru