USA:s handelsdepartement har släppt nya regler utformade för att hindra företag från att sälja hackverktyg till Kina, Ryssland och andra länder som kan använda dem i skändliga syften.
De nya reglerna, som träder i kraft om 90 dagar och drevs av avdelningens Bureau of Industry and Security (BIS), reglerar “export, återexport eller överföring (i landet) av vissa föremål som kan användas för skadlig cyber verksamhet.”
Företag skulle hindras från att sälja viss teknik till vissa länder utan en specifik licens från BIS.
USA:s handelsminister Gina Raimondo sa i ett uttalande att USA är ” åtagit sig att arbeta med våra multilaterala partners för att förhindra spridningen av viss teknik som kan användas för skadliga aktiviteter som hotar cybersäkerhet och mänskliga rättigheter.”
“Handelsdepartementets interimistiska slutregel som inför exportkontroller av vissa cybersäkerhetsartiklar är ett lämpligt skräddarsytt tillvägagångssätt som skyddar USA:s nationella säkerhet mot illvilliga cyberaktörer samtidigt som den säkerställer legitima cybersäkerhetsaktiviteter”, sa Raimondo.
Regeln intygar dessutom en ny licensundantag auktoriserad cybersäkerhetsexport (ACE) som avdelningen nu söker allmän kommentar om. Handelsavdelningen söker externa experter för att informera dem om hur regeln kommer att påverka amerikanska företag och det bredare cybersäkerhetssamhället.
Avdelningen förklarade i ett uttalande att undantaget skulle “tillåta export, återexport och överföring (i landet) av “cybersäkerhetsartiklar” till de flesta destinationer, samtidigt som ett licenskrav för export till länder med nationell säkerhet eller massförstörelsevapen bekymmers.”
Alla länder som för närvarande omfattas av ett amerikanskt vapenembargo kommer att behöva en licens för att ta emot viss teknik
“Dessutom skulle licensundantaget ACE införa en slutanvändningsbegränsning under omständigheter där exportören, återexportören eller överlåtaren vet eller har anledning att veta vid tidpunkten för export, återexport eller överföring (inland), inklusive en anses export eller återexport, att “cybersäkerhetsobjektet” kommer att användas för att påverka sekretessen, integriteten eller tillgängligheten för information eller informationssystem, utan tillstånd från ägaren, operatören eller administratören av informationssystemet (inklusive informationen och processerna i sådana system ),” förklarade handelsdepartementet.
Avdelningen noterade att regeln är i linje med Wassenaar-arrangemanget — som frivilligt styr exportpolitiken i 42 olika länder kring “militär och teknologi med dubbla användningsområden.”
USA är ett av de sista länderna som är en del av Wassenaar-arrangemanget att anta regler som denna. Kina och Israel är inte medlemmar i Wassenaar-arrangemanget men Ryssland är det.
Reglerna kommer efter internationellt uppståndelse över en rad avslöjanden om amerikanska experter och teknik som används av repressiva diktaturer. USA bötfällde kraftigt tre före detta NSA-tjänstemän förra månaden för att de försett Förenade Arabemiraten med en rad kraftfulla hackverktyg.
De tre före detta amerikanska underrättelsetjänstemännen ingick i Project Raven, ett försök från Förenade Arabemiraten att spionera på människor rättighetsaktivister, politiker och oliktänkande motståndare till regeringen. De tre hackade till och med in i amerikanska företag och skapade två bedrifter som användes för att bryta sig in i smartphones.
Israeliska tjänstemän fortsätter att möta motreaktioner på grund av de verktyg som tillhandahålls av NSO Group, ett privat företag som säljer kraftfulla spionprogram till diktaturer och cyberkriminella grupper.
Washington Post var först med att rapportera om de nya reglerna från handelsdepartementet och noterade att reglerna specifikt riktade sig till företag som säljer till Ryssland och Kina. Regeln är komplicerad på grund av specifika carve outs som är avsedda att blidka cybersäkerhetsforskare som länge klagade över hur de potentiella reglerna skulle göra det svårt för dem att dela defensiv information med andra utomlands.
En av de törnaste frågorna som höll regeln i flera år var försäljning av penetrationstestverktyg, som är tillåtna utan licens för vissa länder men inte tillåtna för andra.
Jonathan Reiber, som tidigare tjänstgjorde som chefsstrategichef för cyberpolitik vid USA:s försvarsministers kontor under Obama-administrationen, sa att det tog lång tid att sätta reglerna på plats eftersom regeringen var tvungen att väga potentialen. kostnader och fördelar för all exportkontroll.
“Det är inte bara dags för överläggningar inom amerikanska myndigheter och med kongressen, utan mellan regeringen, den privata industrin och forskarvärlden. Om man tar en titt på själva regeln och föreställer sig antalet advokater i olika myndigheter som måste gå med på språket innan en regel kan dyka upp offentligt, kan du börja få en känsla för varför exportkontrollreformen är en långsam process,” sa Reiber.
” Wassenaar-arrangemanget har funnits i decennier, och eftersom det mognat under de senaste elva åren genom exportkontrollreformprocessen, som informerade staters antagande av kontrollerna inom det, väcktes det legitima frågor om hur en potentiell exportkontroll skulle kunna påverka utvecklingen och användningen av testprogramvara för att förbättra cybersäkerheten negativt.”
Reiber sa att denna fråga var svår att lösa, eftersom reformprocessen för exportkontroll måste hålla två principer i balans: att avstå från att påverka industrins innovation negativt och samtidigt kontrollera för potentiella negativa scenarier som kan uppstå från spridningen av ett potentiellt farligt vapen eller teknologi med dubbla användningsområden.
“De senaste avslöjandena gjorde kristallklart de risker som spridningen av sådan programvara kan medföra, särskilt för riktade individer, dissidentgrupper och utsatta befolkningar som lever under förtryckande regimers nåd”, tillade Reiber. “Dessa händelser kan säkert ha påskyndat reglernas utveckling.”
Chris Clements, vice VD för lösningsarkitektur på Cerberus Sentinel, sa att han inte förutser att dessa regler kommer att ha någon betydande inverkan på den övergripande offensiva förmågan i många länder av olika anledningar.
Några av de största leverantörerna av sådan programvara är baserade utanför USA där förordningen kanske inte påverkar dem, förklarade han och tillade att många av de mest använda verktygen är öppen källkod.
Den öppna källkodsnaturen hos vissa verktyg gör det oklart hur dessa regler kommer att påverka deras distribution.
“Även om vanliga värdorganisationer med öppen källkod som GitHub eller Gitlab skulle införa GeoIP-restriktioner för nedladdning av sådan utpekad intrångsprogramvara, skulle det tyckas trivialt för en förbjuden nation att helt enkelt VPN via en gemensam VPN leverantör för att kringgå sådana restriktioner,” sa Clements.
“Slutligen är det ofta så att aktörer i dessa jurisdiktioner använder sig av piratkopierade versioner av kommersiella verktyg, utan att behöva köpa programvaran på ett legitimt sätt helt och hållet.”
Säkerhet
Hackare döljer sin skadliga JavaScript-kod med ett svårslagen trick. Den här nya nätfiske-attacken innehåller en beväpnad Excel-fil. Har någon annan i hemlighet tillgång till din iPhone eller iPad? Supply chain attacker är hackarens nya favoritvapen Cybersecurity 101: Protect your privacy from hackers, spies, the government
Relaterade ämnen:
China Security TV Data Management CXO Data Centers 