Kongressi harkitsee kilpailunrajoituksia, joilla säännellään Applen, Amazonin, Facebookin (Meta), Googlen (Alphabet) ja Microsoftin kaltaisten yritysten tapaa kohdella kilpailua ja kieltää epäreilut taktiikat verkkomaailmassa. muut yritykset, jotka käyttävät digitaalisia alustojaan. Sääntelyn laajuudesta riippumatta kaikki tietävät, että alustat on pidettävä vapaana haittaohjelmista ja vakoiluohjelmista.
Mutta jotkin laskujen säännökset saattavat vahingossa heikentää kykyä tehdä niin. Kyberturvallisuuden vaarantaminen tärkeimmillä sosiaalisen median ja kaupallisilla verkkoalustoillamme, jotka ovat kriittisiä lähes kaikilla henkilökohtaisen ja kaupallisen elämämme osa-alueilla, on kansallinen turvallisuusriski.
Meidän pitäisi olla vieläkin varovaisempia näiden riskien suhteen nyt, kun otetaan huomioon presidentti Bidenin maaliskuun lopulla antama lausunto, jonka mukaan Venäjä "tutkii mahdollisia kyberhyökkäyksiä" – ylipäällikön ennennäkemätön kybervaroitus. Venäjän kyberuhan lisäksi kamppailemme jo nyt kybertaistelussamme Kiinassa, Pohjois-Koreassa ja Iranissa toimivia vakoojatoimistoja ja kiristysohjelmaryhmiä vastaan – amerikkalaiset koulut, sairaalat ja yritykset kärsivät päivittäin tietovarkauksista ja kiristysohjelmahyökkäyksistä. Meidän on varmistettava, että maamme kyberinfrastruktuurilla on paremmat mahdollisuudet torjua yhä kehittyneempiä hyökkäyksiä.
On kuitenkin olemassa huoli siitä, että senaatin oikeuskomitean äskettäin julkaisemat kaksi lakiehdotusta – American Innovation and Choice Online Act (S.2992) ja Open App Markets Act (S.2710) – voivat itse asiassa lisätä kyberturvallisuusriskejä. Lakiehdotukset rajoittaisivat joitain Big Tech -alustojen toimintakykyä ja pakottaisivat ne suunnittelemaan järjestelmänsä uudelleen esimerkiksi siten, että yrityskäyttäjille (joihin voi kuulua ulkomaisia tahoja) olisi avoimempi pääsy alustan omaan ohjelmistoon, mikä teoriassa rohkaisee yhteentoimivuutta ja ohjelmiston kilpailuetujen vähentäminen.
Laskuilla pyritään myös estämään tietyt vaiheet, joita alustat toteuttavat sääntöjensä noudattamiseksi, mikä antaa yrityskäyttäjille enemmän toimintavapautta alustoilla. ja suojata tällaisten käyttäjien omaa dataa alustojen analysoimiselta, mikä estää alustoja hyödyntämästä epäreilua kilpailuetua käyttäjiensä tiedoista.
Vaikka alustan omistajat voivat väärinkäyttää näitä kykyjä, ne ovat myös ainakin joissain suhteissa välttämättömiä. Tämä johtuu siitä, että haitta- tai vakoiluohjelmien asennuksen estämiseksi, teknisten haavoittuvuuksien löytämiseksi, joita ulkomaiset maat voisivat hyödyntää, tai disinformaation paljastamiseksi ja lopettamiseksi alustoillaan, alustat luottavat monissa tapauksissa juuri niihin kykyihin, jotka olisivat kiellettyjä.
Jos kolmannella osapuolella on oikeus muodostaa yhteys alustan omiin järjestelmiin ja toimia saumattomasti niiden kanssa, se voi esimerkiksi tarkoittaa, että alusta ei pysty etsimään tai estämään haitallista koodia. alustan on todellakin "syrjittävä" huonoja ohjelmistoja. Kuitenkin, riippuen laskujen määräysten tulkinnasta, se saattaa olla tahattomasti kiellettyä. On selvää, että alustan kyvyn rajoittaminen estää tietokonevirusta tartuttamasta alustaa tai sen käyttäjiä tai sallia disinformaation julkaiseminen ja levittäminen ei voi olla hyväksi kansalliselle turvallisuudellemme.
Oikeudenmukaisuuden vuoksi laskut sisältävät poikkeuksia, jotka sallivat joidenkin liiketoimintakäytäntöjen jatkumisen kyberturvallisuuden vuoksi. Mutta ei ole selvää, ovatko poikkeukset riittävän kattavia tai että sääntelyvirastot ja tuomioistuimet tulkitsevat niitä oikein varmistaakseen, että verkkoalustat voivat todellakin suojautua kyberhaitallisilta. Meidän ei pitäisi joutua ottamaan sitä riskiä, vaikka se olisi pieni.
Tämä ei tarkoita, että Big Techin pitäisi olla suojassa valvonnalta tai sääntelyltä. Itse asiassa viime vuosien paljastukset useiden yritysten joistakin kyvyistä ja toiminnoista ovat tuoneet esiin tunkeilevia ja loukkaavia käytäntöjä, jotka useimpien ihmisten mielestä pitäisi kieltää.
Joten, on olemassa kohtuullinen yleispoliittinen peruste joidenkin rajoitusten myöhästymiselle asettamiselle teollisuudelle, jonka annettiin erittäin tietoisesti kasvaa rajoituksetta ja todellakin erityisillä oikeudellisilla suojatoimilla (kuten Communications Decency Actin pykälä 230, joka vapautti poikkeuksen). online-alustoilla vastuusta käyttäjiensä julkaisemasta sisällöstä).
Kuitenkin tapa, jolla kongressi yrittää asettaa nämä rajoitukset, aiheuttaa mahdollisia ongelmia. Johtuen mahdollisuudesta, että tiettyä teknistä käytäntöä tai kykyä voidaan käyttää yhtä lailla hyviin tarkoituksiin (esimerkiksi lisätoimintojen tai turvallisempien toimintojen luomiseen käyttäjille) sekä huonoihin (estää epäreilusti käyttäjien mahdollisuuksia tehdä valintoja tai pakottaa heidät käyttämään kalliimpaa vaihtoehtoja), on vaikea laatia sääntöä, joka yksinkertaisesti kieltää tietyn käytännön tai kyvyn.
Lisäksi laskuissa käytetään kilpailunrajoituksia, jotka eivät sovellu monimutkaisten ongelmien ratkaisemiseen, jotka vaativat hienoja eroja liiketoiminnassa ja verkkopuheessa. Teknologian säänteleminen subjektiivisten tulosten – kuten lisääntyneen ja reilun kilpailun – saavuttamiseksi on luonnostaan vaikeaa, ja sen jatkuva innovointi tekee siitä entistä haastavampaa. Sitä vastoin objektiivisten tulosten – kuten epäpuhtaiden huumeiden tai auto-onnettomuuksien aiheuttamien kuolemien määrän vähentäminen – säätely on yksinkertaisempaa. Kun otetaan huomioon tämän alan lainsäädäntöön liittyvät tunnustetut vaikeudet, on erityisen tärkeää varmistaa, että ehdotetuilla säännöillä ei ole tahattomia seurauksia.
Todellisuus on, että sosiaalisista ja poliittisista syistä Big Techin jonkinlainen sääntely on asianmukaista ja näennäisen väistämätöntä. Näin ollen käymme keskustelua niiden kannattajien välillä, jotka väittävät, että verkkoalustat ovat liioitelleet laskujen riskejä ja minimoineet tietoturvapoikkeuksien arvon, ja vastustajat, jotka sanovat, että hyvää tarkoittava, mutta liian laaja lainsäädäntö voi aiheuttaa enemmän haittaa kuin mitä halutaan. parantuakseen.
Molempien tehtävien ansiota on. Mutta kun kansallinen turvallisuus on vaakalaudalla, on vaikea ymmärtää, miksi meidän pitäisi ottaa riski, varsinkin kun on olemassa helppo tapa minimoida tämä riski tekemällä se, mikä olisi pitänyt tehdä paljon aikaisemmassa lainsäädäntöprosessin vaiheessa: kansallinen turvallisuus. ehdotetun lain tarkistaminen.
Kun Venäjän, Kiinan, Pohjois-Korean ja Iranin kaltaisten maiden verkkorikolliset ja vakoilutoimistot löytävät tietokoneverkon, johon he haluavat päästä, he tutkivat verkkoa ja etsivät tapoja päästä sisään. Samoin verkon omistajat tekevät "tunkeutumisen" testaamalla” omissa järjestelmissään toivoen löytävänsä haavoittuvuuksia ennen kuin kybervastustajat tekevät. Tiedämme, mitä nämä maat aikovat tehdä, kun ne kohtaavat verkostoja, jotka pakotetaan noudattamaan jotakin näistä ehdotetuista lakiehdotuksista, nimittäin etsimään tapoja hyödyntää uusia sääntöjä.
Meidän pitäisi siis ensin tehdä oma "tunkeutumistestimme" laatimalla liittovaltion hallitukselle katsaus tarkalleen, mitä haavoittuvuuksia mikä tahansa tämän alan laki todennäköisesti aiheuttaa, vaikkakin tahattomasti, ennen kuin se tulee voimaan. Tämä voitaisiin tehdä esimerkiksi pyytämällä kansallista kyberpäällikköä koordinoimaan nopeutettu tarkastelu oikeus-, sisäisen turvallisuuden ja puolustusministeriön, kansallisen tiedustelupalvelun johtajan viraston sekä tiedustelu- ja muiden kongressin asiaankuuluvien komiteoiden kanssa. mahdollisia teknisiä ongelmia laskuissa ja mahdollisia ratkaisuja.
Se riski, että näin ei tehdä, ei ole vähäpätöinen eikä meidän pitäisi ottaa. ja ainoa riski tällaisen tarkastelun tekemiseen on lyhyt viive. Tässä tapauksessa se on oikea riski.
Glenn S. Gerstell on johtava neuvonantaja Center for Strategic & Kansainväliset opinnot. Hän toimi Kansallisen turvallisuusviraston lakimiehenä vuosina 2015–2020.
