С похвалните цели за насърчаване на конкуренцията и забраняване на нечестни тактики в онлайн света, Конгресът обмисля антитръстови законопроекти, които ще регулират начина, по който компании като Apple, Amazon, Facebook (Meta), Google (Alphabet) и Microsoft третират други фирми, които използват техните цифрови платформи. Независимо от степента на регулиране, всеки признава, че платформите трябва да бъдат освободени от зловреден и шпионски софтуер.
Но някои от разпоредбите в законопроектите може неволно да подкопаят способността за това. Застрашаването на киберсигурността в нашите основни социални медии и комерсиални онлайн платформи, които са критични за почти всеки аспект от нашия личен и търговски живот, е риск за националната сигурност.
Сега трябва да бъдем още по-предпазливи относно тези рискове с оглед на изявлението на президента Байдън в края на март, че Русия „проучва варианти за потенциални кибератаки“ – безпрецедентно кибер предупреждение от главнокомандващ. Освен руската кибер заплаха, ние вече се борим в нашата кибер битка срещу шпионските агенции и бандите за рансъмуер, действащи в Китай, Северна Корея и Иран – като американските училища, болници и фирми всеки ден страдат от кражби на данни и атаки на рансъмуер. Трябва да сме сигурни, че кибер инфраструктурата на нашата нация е в по-добра позиция да отблъсне все по-сложни атаки.
И все пак има опасения, че двата законопроекта, докладвани наскоро от съдебната комисия на Сената – Американският закон за иновациите и избора онлайн (S.2992) и Законът за отворените пазари на приложения (S.2710) – всъщност биха могли да увеличат рисковете за киберсигурността. Законопроектите ще ограничат някои оперативни възможности на платформите Big Tech и ще ги принудят да препроектират своите системи, например, за да позволят на бизнес потребителите (което може да включва чуждестранни субекти) да имат по-отворен достъп до собствения софтуер на платформата, като по този начин теоретично насърчават оперативната съвместимост и намаляване на конкурентните предимства на този софтуер.
Законопроектите също така се стремят да блокират определени стъпки, които платформите предприемат, за да наложат своите правила, като по този начин дават на бизнес потребителите по-голяма свобода на работа в платформите; и да предпазва собствените данни на тези потребители от анализ от страна на платформите, като по този начин предотвратява нечестното конкурентно предимство на платформите от данните на своите потребители.
Въпреки че с тези способности може да се злоупотребява от собствениците на платформата, те също са, поне в някои отношения, основни. Това е така, защото за да се предотврати инсталирането на злонамерен софтуер или шпионски софтуер, за да се открият технически уязвимости, които могат да бъдат използвани от чужди държави или да се разкрие и спре дезинформацията на техните платформи, платформите в много случаи разчитат на същите способности, които биха били забранени.
Задължаването на трета страна да има правото да се свързва и да работи безпроблемно със собствените системи на платформата може например да означава, че платформата не може да сканира или блокира зловреден код; платформата наистина трябва да „дискриминира“ лошия софтуер. И все пак, в зависимост от тълкуването на разпоредбите на законопроектите, това може да бъде неволно забранено. Очевидно ограничаването на способността на платформата да предотврати заразяването на компютърен вирус с тази платформа или нейните потребители или позволяването на публикуване и разпространение на дезинформация не може да бъде добро за националната ни сигурност.
За да бъдем честни, законопроектите съдържат изключения, позволяващи някои бизнес практики да продължат, когато е необходимо за киберсигурността. Но не е ясно дали изключенията са достатъчно изчерпателни или ще бъдат правилно тълкувани от регулаторните агенции и съдилищата, за да се гарантира, че онлайн платформите наистина ще могат да се предпазят от кибер злонамереност. Не трябва да поемаме този риск, колкото и малък да е той.
Това не означава, че Big Tech трябва да бъде имунизиран от контрол или регулиране. Наистина, разкритията през последните няколко години относно някои от възможностите и операциите на няколко компании подчертаха някои натрапчиви и злоупотребяващи практики, които повечето хора смятат, че трябва да бъдат забранени.
Така че има разумен аргумент за обществената политика за закъснялото налагане на някои ограничения върху индустрия, на която много умишлено е позволено да се развива без ограничения и наистина със специална правна защита (като раздел 230 от Закона за благоприличие в комуникациите, който освобождава от онлайн платформи от отговорност за това, което техните потребители публикуват).
И все пак начинът, по който Конгресът се стреми да наложи тези ограничения, създава потенциални проблеми. Поради възможността дадена технологична практика или възможност да бъде еднакво използвана за добри цели (да речем създаване на допълнителна или по-безопасна функционалност за потребителите), както и за лоши (несправедливо блокиране на възможността на потребителите да правят избор или принуждавайки ги да използват по-скъпи опции), трудно е да се установи правило, което просто да забранява определена практика или способност.
Освен това законопроектите използват антитръстови инструменти, които не са подходящи за решаване на сложни проблеми, които изискват фини разграничения в бизнес практиката и онлайн речта. Регулирането на технологиите за постигане на субективни резултати – като повече и честна конкуренция – е по същество трудно и става още по-предизвикателно поради постоянните иновации. Обратно, регулирането за обективни резултати – като намаляване на броя на смъртните случаи поради нечисти лекарства или автомобилни катастрофи – е по-лесно. Така че като се имат предвид признатите трудности при законодателстването в тази област, особено важно е да се гарантира, че предложените правила нямат непредвидени последици.
Реалността е, че по социални и политически причини някои регулации на Big Tech са подходящи и привидно неизбежни. Следователно сме в дебат между поддръжниците, които твърдят, че онлайн платформите са преувеличили рисковете от сметките и са свели до минимум стойността на изключенията за сигурност, и противниците, които казват, че добронамереното, но прекалено широко законодателство може да причини повече вреда от това, което се търси да се излекува.
Има известни предимства и в двете позиции. Но когато националната сигурност е застрашена, трудно е да разберем защо трябва да поемаме риска, особено когато има лесен начин за минимизиране на този риск чрез предприемане на това, което трябваше да бъде направено на много по-ранен етап от законодателния процес: национална сигурност преглед на предложения закон.
Когато киберпрестъпниците и шпионските агенции от държави като Русия, Китай, Северна Корея и Иран открият компютърна мрежа, в която искат да влязат, те изследват мрежата, търсейки начини да влязат. По подобен начин собствениците на мрежата правят „проникване тестване“ на техните собствени системи с надеждата да открият уязвимости преди тези кибернетични противници да го направят. Знаем какво ще направят тези държави, когато се изправят срещу мрежи, които ще бъдат принудени да се съобразят с някой от тези предложени законопроекти, а именно да търсят начини да използват новите правила.
По този начин първо трябва да направим собствено „тестване за проникване“, като установим някакъв преглед от федералното правителство какви точно уязвимости е вероятно да бъдат създадени, дори и неволно, от който и да е закон в тази област, преди той да влезе в сила. Това може да стане, например, като поискате от националния кибердиректор да координира експедитивен преглед с министерствата на правосъдието, вътрешната сигурност и отбраната, службата на директора на националното разузнаване и разузнаването и други съответни комисии в Конгреса, като докладва за потенциални технически проблеми със сметките и възможни решения.
Рискът да не го направим не е нито тривиален, нито такъв, който трябва да поемем; и единственият риск от извършването на такъв преглед е кратко забавяне. В този случай това е правилният риск, който трябва да поемете.
Глен С. Герстел е старши съветник в Center for Strategic & Международни изследвания. Той е служил като главен съветник на Агенцията за национална сигурност от 2015 г. до 2020 г.