S chvályhodnými cíli podpory konkurence a zákazu nekalých taktik v online světě Kongres zvažuje antimonopolní zákony, které by regulovaly, jak se společnosti jako Apple, Amazon, Facebook (Meta), Google (Alphabet) a Microsoft chovají další podniky, které používají jejich digitální platformy. Bez ohledu na rozsah regulace si každý uvědomuje, že platformy musí být chráněny před malwarem a spywarem.
Některá ustanovení v zákonech však mohou neúmyslně podkopávat tuto možnost. Ohrožování kybernetické bezpečnosti na našich hlavních sociálních médiích a komerčních online platformách, které jsou zásadní pro téměř každý aspekt našeho osobního a komerčního života, je národní bezpečnostní riziko.
Teď bychom měli být ohledně těchto rizik ještě ostražitější s ohledem na prohlášení prezidenta Bidena z konce března, že Rusko „zkoumá možnosti potenciálních kybernetických útoků“ – bezprecedentní kybernetické varování ze strany vrchního velitele. Kromě ruské kybernetické hrozby se již potýkáme v kybernetické bitvě se špionážními agenturami a ransomwarovými gangy působícími v Číně, Severní Koreji a Íránu – americké školy, nemocnice a podniky denně trpí krádežemi dat a útoky ransomwaru. Musíme se ujistit, že kybernetická infrastruktura naší země je v lepší pozici, aby mohla odrazit stále sofistikovanější útoky.
Přesto existuje obava, že dva návrhy zákonů, které nedávno zveřejnil soudní výbor Senátu – americký zákon o inovacích a výběru online (S.2992) a zákon o otevřených trzích aplikací (S.2710) – by ve skutečnosti mohly zvýšit rizika kybernetické bezpečnosti. Návrhy zákonů by omezily některé provozní schopnosti platforem Big Tech a donutily je přepracovat své systémy, například tak, aby umožnily podnikovým uživatelům (což by mohly zahrnovat zahraniční subjekty) otevřenější přístup k proprietárnímu softwaru platformy, čímž by teoreticky podpořily interoperabilitu a snížení konkurenčních výhod tohoto softwaru.
Návrhy zákonů se také snaží zablokovat určité kroky, které platformy podnikají, aby prosadily svá pravidla, a poskytují tak firemním uživatelům větší provozní svobodu na platformách; a chránit vlastní data těchto uživatelů před analýzou ze strany platforem, a zabránit tak platformám v nečestné konkurenční výhodě z údajů jejich uživatelů.
I když tyto schopnosti mohou majitelé platformy zneužít, jsou také, alespoň v některých ohledech, zásadní. Je tomu tak proto, že za účelem zabránění instalaci malwaru nebo spywaru, odhalení technických zranitelností, které by mohly zneužít cizí země nebo odhalení a zastavení dezinformací na jejich platformách, platformy v mnoha případech spoléhají právě na schopnosti, které by byly zakázány.
Nařízení, že třetí strana má právo připojit se a bezproblémově pracovat s vlastními systémy platformy, může například znamenat, že platforma nebude moci vyhledávat nebo blokovat škodlivý kód. platforma skutečně musí „diskriminovat“ špatný software. V závislosti na výkladu ustanovení zákonů by to však mohlo být neúmyslně postaveno mimo zákon. Je zřejmé, že omezení schopnosti platformy zabránit počítačovému viru v infikování této platformy nebo jejích uživatelů nebo umožnit zveřejňování a šíření dezinformací nemůže být dobré pro naši národní bezpečnost.
Abychom byli spravedliví, návrhy zákonů obsahují výjimky, které umožňují pokračovat v některých obchodních praktikách tam, kde je to nutné pro kybernetickou bezpečnost. Není však jasné, zda jsou výjimky dostatečně komplexní nebo zda je regulační agentury a soudy správně vyloží, aby bylo zajištěno, že online platformy se skutečně budou schopny chránit před kybernetickým zákeřností. Neměli bychom podstupovat toto riziko, ať je sebemenší.
To neznamená, že by společnost Big Tech měla být imunní vůči kontrole nebo regulaci. Odhalení v posledních několika letech o některých schopnostech a operacích několika společností skutečně poukázala na některé rušivé a zneužívající praktiky, o kterých si většina lidí myslí, že by měly být zakázány.
Existuje tedy rozumný argument veřejného mínění pro opožděné uvalení některých omezení na odvětví, které bylo velmi záměrně umožněno růst bez omezení a skutečně se zvláštní právní ochranou (jako je § 230 zákona Communications Decency Act, který vyjímal online platformy z odpovědnosti za to, co jejich uživatelé zveřejnili).
Přesto způsob, jakým Kongres usiluje o zavedení těchto omezení, vytváří potenciální problémy. Vzhledem k možnosti, že by daná technologická praxe nebo schopnost mohla být stejně využita pro dobré účely (řekněme vytvoření dodatečné nebo bezpečnější funkce pro uživatele), stejně jako pro špatné (nespravedlivě blokující možnost uživatelů provádět výběr nebo je nutit používat dražší možnosti), je těžké stanovit pravidlo, které jednoduše zakáže určitou praxi nebo schopnost.
Návrhy navíc používají antimonopolní nástroje, které nejsou příliš vhodné k řešení složitých problémů, které vyžadují jemné rozlišení v obchodní praxi a online řeči. Regulace technologie za účelem dosažení subjektivních výsledků – jako je větší a spravedlivá konkurence – je ze své podstaty obtížná a její neustálá inovace je ještě náročnější. Naproti tomu regulace pro objektivní výsledky – jako je snížení počtu úmrtí v důsledku nečistých drog nebo automobilových nehod – je jednodušší. Takže vzhledem k uznávaným obtížím legislativy v této oblasti je obzvláště důležité zajistit, aby navrhovaná pravidla neměla nezamýšlené důsledky.
Skutečnost je taková, že ze sociálních a politických důvodů je určitá regulace Big Tech vhodná a zdánlivě nevyhnutelná. V důsledku toho jsme v debatě mezi zastánci, kteří tvrdí, že online platformy zveličily rizika účtů a minimalizovaly hodnotu bezpečnostních výjimek, a odpůrci, kteří tvrdí, že dobře míněná, ale příliš široká legislativa by mohla způsobit více škody, než se požaduje. být vyléčen.
Obě pozice mají své výhody. Ale když je v sázce národní bezpečnost, je těžké pochopit, proč bychom měli riskovat, zvláště když existuje snadný způsob, jak toto riziko minimalizovat tím, že podnikneme to, co se mělo udělat v mnohem dřívější fázi legislativního procesu: národní bezpečnost. revize navrhované právní úpravy.
Když počítačoví zločinci a špionážní agentury zemí jako Rusko, Čína, Severní Korea a Írán objeví počítačovou síť, do které se chtějí dostat, prozkoumají síť a hledají způsoby, jak se dovnitř dostat. Podobně vlastníci sítí provádějí „penetraci testování“ na svých vlastních systémech v naději, že odhalí zranitelnosti dříve, než to udělají tito kybernetičtí protivníci. Víme, co tyto země udělají, až se střetnou se sítěmi, které budou nuceny vyhovět kterémukoli z těchto navrhovaných zákonů, konkrétně hledat způsoby, jak nová pravidla využít.
Proto bychom měli nejprve provést naše vlastní „penetrační testování“ tím, že federální vládou zavedeme určitou revizi toho, jaké zranitelnosti pravděpodobně vytvoří, i když neúmyslně, jakýkoli zákon v této oblasti, než nabude účinnosti. Toho lze dosáhnout například tím, že požádáme národního kybernetického ředitele, aby koordinoval urychlené přezkoumání s ministerstvy spravedlnosti, vnitřní bezpečnosti a obrany, kanceláří ředitele národní zpravodajské služby a zpravodajskými a dalšími příslušnými výbory v Kongresu, a informoval o potenciální technické problémy s účty a možná řešení.
Riziko, že tak neučiníme, není ani triviální, ani bychom neměli podstupovat; a jediné riziko takového přezkoumání je krátké zpoždění. V tomto případě je to správné riziko.
Glenn S. Gerstell je senior poradcem v Centru pro strategické & Mezinárodní studie. V letech 2015 až 2020 působil jako generální právní zástupce Národního bezpečnostního úřadu.
