Senaste veckan har braskande rubriker återfunnits i både svensk och utländsk press; Obama ska få rätt att stänga ner internet! Drakarna Aftonbladet, SvD och Expressen har alla haft denna varning på sina förstasidor. Allt vi visste om USA stämmer, onda, feta och giriga… och nu vill de ha total kontroll av internet.
Men är det verkligen vad lagförslaget säger? Om man ska tro ovan nämnda artiklar så är det rakt av vad som kan komma att ske:
Den amerikanske demokratiske senatorn Jay Rockefeller [anm: John D. Rockefeller, senator (D) för West Virginia] lade redan i våras fram ett sådant förslag, då med skrivningen att presidenten skulle få makt att helt enkelt ”stänga av” internet. Proteststormen från internetföretagen ströp förslaget.
Det reviderade förslaget ger presidenten rätt att i ett nödläge utlysa ett slags cybervärldens undantagstillstånd. Kritikerna har varken blivit gladare eller klokare på det nu mer luddiga förslaget.
Detta verkar vara huvuddelen av artiklarna (som för övrigt alla är identiska, baserade på TTs mall), att lagförslaget från Rockefeller skulle ha lett till att USA bland annat skulle kunna ”kontrollera” internet men att det nu är något osäkert. Alltså faller redan rubriksättningen något så när. Även om detta inte är en nyhet (se längre ned) låt oss gå vidare och se om det ändå kanske finns något i den här historien.
Lagförslaget som omnämns av kritikerna kallas för Cybersecurity act of 2009 (PDF, notera att detta är den reviderade versionen), i den dras riktlinjerna upp för hur IT-säkerheten på nationellt plan och för myndigheter samt hur utbildning på området ska hanteras. Den passage som ursprungligen drog på sig IT-världens vrede återfanns under sektion 18, paragraf 2 och 6 i Rockefellers ursprungsförslag:
The President –
(2) may declare a cybersecurity emergency and order the limitation or shutdown of Internet traffic to and from any compromised Federal Government or United States critical infrastructure information system or network;
…
(6) may order the disconnection of any Federal Government or United States critical infrastructure information systems or networks in the interest of national security;
I klartext; presidenten får utlysa ett IT-undantagstillstånd och kan då stoppa internettraffik inom nationens nätverk (oavsett om den är statlig eller inte). Så långt var analysen korrekt från TT, även om internet är större än bara USA men vi ger dem en chans i alla fall. Men då är således frågan vad det reviderade förslaget (från 19 augusti) säger på dessa punkter. Från sektion 201:
The President –
(2) in the event of an immediate threat to strategic national interests involving compromised Federal Government or United States critical infrastructure information system or network
(A) may declare a cybersecurity emergency; and
(B) may, if the President finds it necessary for the national defense and security, and in co-ordination with relevant industry sectors, direct the national response to the cyber threat and the timely restoration of the affected critical infrastructure information system or network
Någon punkt som motsvarar paragraf 6, sektion 18 återfinns inte i det nya förslaget.
Och även detta citat i klartext; presidenten får förklara ett IT-undantagstillstånd samt, om det behövs, dirigera nationens åtgärderna för att hantera IT-krigföringen och återställandet av kritisk infrastruktur. Utöver detta handlar den citerade sektionen mer om redovisningsskyldighet inför kongressen samt behovet av att sätta upp planer för hur man ska hantera IT-infrastruktur före, under och efter en attack.
Till att börja med har kritikerna en poäng med sina farhågor; såsom språket är i det nya förslaget framgår det inte direkt vad som åsyftas med ”the national response to the cyberthreat”. Är det en omskrivning för att klippa kabeln eller är det bara ett fint ord för att han fortfarande är commander in chief, även för IT-försvaret? Svårt att säga utan att gräva sig genom FIMSA (Federal Information Security Management Act of 2002) och andra dokument.
Ska man gå på kritikernas linje så ser det ut som om man oroar sig mer för individens integritet på nätet än att infrastrukturen skulle hotas (även om det är en faktor, naturligtvis). EFF skriver:
… many of the early concerns about privacy, authority, and security effectiveness have gone unsolved: there is vague language about mapping federal and private networks; there is an unexplained scheme to certify cybersecurity professionals at the federal level; and the mandated implementation of a ”cybersecurity strategy” before the completion of a legal review that could protect against inadvertent privacy violations or inefficiency.
De IT-journalister som tycker att deras kollegor är lite väl negativa har en ”same same but different”-syn på det hela. Till exempel skriver Nicholas Thompson för Wired:
Notice all the hedging. He “may”, “may”, “if he finds it necessary”, “in coordination.” And then they payoff? He can “direct the national response”!
That’s not giving him any powers that he doesn’t already have, and there’s no justification in that language for the hysteria. It is also much more in sync with what Obama himself has said. He has been very clear that he doesn’t want to snoop on private networks, much less take them over.
Intressant är inte det något svaga försvaret för formuleringarna, där har man sett hur det kan gå (hand upp för er som minns John Yoos tortyrmemo) utan istället de påföljande teorierna kring varför lagförslaget presenteras över huvud taget.
So why write the bill if it doesn’t give the president any more authority? I’ve heard two reasonable theories. Marc Ambinder at the Atlantic suggests that the goal may be to give power to the president on these issues at the expense of the less-open NSA and DOD. Under that theory, the bill is actually designed to keep potential channels of dissent in a crisis more open to the public, rather than less.
The second theory is that it’s just a senate jurisdictional battle. Every senator knows that cybersecurity is a pressing issue, and everyone wants his or her name on the big bill. So the Commerce Committee, with authors Snowe and Rockefeller on it, is trying to define the issue of cybersecurity as depending on relationships between the government and private companies — thus making it something they have authority over. Other senators, of course, will try to define the issue so it falls under the authority of their committees.
Vad som kan vara värt att läsa är artikeln i den första teorin, från The Atlantic, då den bland annat innehåller ett klargörande från Jamie Smith, taleskvinnan för Committee on Commerce, Science and Transportation:
To be very clear, the Rockefeller-Snowe bill will not empower a ”government shut down or takeover of the internet” and any suggestion otherwise is misleading and false. The purpose of this language is to clarify how the President directs the public-private response to a crisis, secure our economy and safeguard our financial networks, protect the American people, their privacy and civil liberties, and coordinate the government’s response.
Dessutom påpekas det i artikeln något som kanske glöms bort i diskussionen; att redan idag finns långtgående möjligheter att hantera IT-infrastruktur. Liknelsen som dras är att presidenten har möjlighet att utfärda flygförbud över USA, men att det inte används förutom i yttersta nödfall (läs: 11 september). Således är tanken att lagförslaget ska säkerställa att a) man klargör vem som kan göra vad samt b) säkra att transparensen ökar istället för att NSA håller i trådarna. Detta då det brukar förhålla sig så att allt som NSA ägnar sig åt hemligstämplas av ren princip.
One reason why Sens. Rockefeller and Snowe are so eager to give the White House, the Department of Homeland Security, and the Commerce Department more statutory authority is because they do not want the NSA to become the protector by default. As controversial as cyber monitoring is, as much as it violates our sense of what the Internet is, and as much as it rightly provokes debate about government intrusion, Congress wants these decisions to be transparent and the decision-makers held accountable.
Så, nu har vi plöjt båda sidors argument och läst lite artiklar. Frågan är om vi har blivit klokare på läget. Klart är att rubriksättningen från TT inte är korrekt då presidenten haft den makten sedan tidigare, i yttersta nödfall det vill säga. Samt att det inte heller handlar om att stänga ned ett globalt datornätverk utan att det berör de nationella nätverken. Stort och vittomspännande, men ej korrekt som sagt.
Kanske är det ändå rubriksättningen från The Atlantic som säger det bäst; On Cyber Bill, Skepticism Warranted — But Nuance Needed. Skepticism inför statens välmenande är befogat men diskussionen behöver definitivt nyanseras.