Det amerikanske handelsministerium har udgivet nye regler, der er designet til at forhindre virksomheder i at sælge hackingværktøjer til Kina, Rusland og andre lande, der kan bruge dem til uhyggelige formål.
De nye regler, som træder i kraft om 90 dage og blev skubbet af afdelingens Bureau of Industry and Security (BIS), regulerer “eksport, reeksport eller overførsel (inden for landet) af visse varer, der kan bruges til ondsindet cyber aktiviteter.”
Virksomheder ville blive udelukket fra at sælge noget teknologi til visse lande uden en specifik licens fra BIS.
USAs handelsminister Gina Raimondo sagde i en erklæring, at USA er ” forpligtet til at arbejde med vores multilaterale partnere for at forhindre spredningen af visse teknologier, der kan bruges til ondsindede aktiviteter, der truer cybersikkerhed og menneskerettigheder.”
“Handelsministeriets foreløbige endelige regel, der pålægger eksportkontrol af visse cybersikkerhedsartikler, er en passende skræddersyet tilgang, der beskytter USA's nationale sikkerhed mod ondsindede cyberaktører og samtidig sikrer legitime cybersikkerhedsaktiviteter,” sagde Raimondo.
Reglen certificerer desuden en ny License Exception Authorized Cybersecurity Exports (ACE), som afdelingen nu leder efter offentlig kommentar til. Handelsministeriet leder efter eksterne eksperter for at fortælle dem om, hvordan reglen vil påvirke amerikanske virksomheder og det bredere cybersikkerhedssamfund.
Afdelingen forklarede i en erklæring, at undtagelsen ville “tillade eksport, geneksport og overførsel (i landet) af “cybersikkerhedsartikler” til de fleste destinationer, samtidig med at et licenskrav bevares for eksport til lande med national sikkerhed eller bekymring for masseødelæggelsesvåben.”
Ethvert land, der i øjeblikket er underlagt en amerikansk våbenembargo skal have en licens for at modtage bestemt teknologi
“Endvidere ville licensundtagelsen ACE pålægge en slutbrugsbegrænsning under omstændigheder, hvor eksportøren, geneksportøren eller overføreren kender eller har grund til at vide det på tidspunktet for eksport, geneksport eller overførsel (i landet), herunder en anses for eksport eller reeksport, at “cybersikkerhedselementet” vil blive brugt til at påvirke fortroligheden, integriteten eller tilgængeligheden af informationer eller informationssystemer uden tilladelse fra ejeren, operatøren eller administratoren af informationssystemet (inklusive oplysningerne og processerne i sådanne systemer ),” forklarede handelsministeriet.
Afdelingen bemærkede, at reglen er i overensstemmelse med Wassenaar-arrangementet-som frivilligt regulerer eksportpolitikken i 42 forskellige lande omkring “militære og dual-use-teknologier.”
The USA er et af de sidste lande, der er en del af Wassenaar -arrangementet for at vedtage regler som dette. Kina og Israel er ikke medlemmer af Wassenaar-arrangementet, men Rusland er det.
Reglerne kommer efter internationalt ramaskrig over en række afsløringer om amerikanske eksperter og teknologi, der bliver brugt af undertrykkende diktaturer. USA idømte en kraftig bøde til tre tidligere NSA-embedsmænd i sidste måned for at have givet UAE en række kraftfulde hackingværktøjer.
De tre tidligere amerikanske efterretningstjenestemænd var en del af Project Raven, et forsøg fra UAE for at spionere på mennesker rettighedsaktivister, politikere og dissidenter imod regeringen. De tre hackede endda ind i amerikanske virksomheder og skabte to udnyttelser, der blev brugt til at bryde ind i smartphones.
Israelske embedsmænd oplever fortsat tilbageslag på grund af værktøjerne leveret af NSO Group, en privat virksomhed, der sælger kraftfuld spyware til diktaturer og cyberkriminelle grupper.
Washington Post var den første til at rapportere om de nye regler fra handelsministeriet og bemærkede, at reglerne specifikt var rettet mod virksomheder, der sælger til Rusland og Kina. Reglen er kompliceret på grund af specifikke udskæringer beregnet til at formilde cybersikkerhedsforskere, der længe har klaget over, hvordan de potentielle regler ville gøre det vanskeligt for dem at dele defensiv information med andre i udlandet.
Et af de vanskeligste problemer, der har holdt reglen op i årevis, var salget af penetrationstestværktøjer, som vil være tilladt uden licens for visse lande, men ikke tilladt for andre.
Jonathan Reiber, der tidligere tjente som strategichef for cyberpolitik i den amerikanske forsvarsministers kontor under Obama-administrationen, sagde, at det tog lang tid at få reglerne på plads, fordi regeringen var nødt til at afveje potentialet. omkostninger og fordele ved enhver eksportkontrol.
“Det er ikke kun tid til overvejelser inden for amerikanske regeringsagenturer og med Kongressen, men mellem regeringen, den private industri og forskningsmiljøet. Hvis man tager et kig på selve reglen og forestiller sig antallet af advokater i forskellige agenturer, der skal acceptere at sproget, før en regel kan komme frem offentligt, kan du begynde at få en fornemmelse af, hvorfor eksportkontrolreform er en langsom proces, «sagde Reiber.
“Wassenaar -arrangementet har været på plads i årtier, og da det modnet i løbet af de sidste elleve år gennem eksportkontrolreformen og informerede staternes vedtagelse af kontrollerne inden for det, blev der rejst legitime spørgsmål om hvordan en potentiel eksportkontrol kan have en negativ indvirkning på udviklingen og brugen af testsoftware beregnet til at forbedre cybersikkerheden.”
Reiber sagde, at dette spørgsmål var svært at løse, fordi eksportkontrolreformprocessen skal holde to principper i balance: at afstå fra at påvirke industriens innovation negativt og samtidig kontrollere for potentielle negative scenarier, der kan opstå som følge af spredningen af et potentielt farligt våben eller dual-use teknologi.
“Seneste afsløringer gjorde krystalklart de risici, som spredningen af sådan software kan udgøre, især for målrettede individer, dissidente grupper og sårbare befolkningsgrupper, der lever prisgivet under undertrykkende regimer,” tilføjede Reiber. “Disse begivenheder kan helt sikkert have fremskyndet reglernes udvikling.”
Chris Clements, vicepræsident for løsningsarkitektur hos Cerberus Sentinel, sagde, at han ikke forudser, at disse regler vil have væsentlig indflydelse på de overordnede offensive kapaciteter i mange lande af flere grunde.
Nogle af de største leverandører af sådan software er baseret uden for USA, hvor reguleringen muligvis ikke påvirker dem, forklarede han og tilføjede, at mange af de mest brugte værktøjer er open source i naturen.
Den åbne kildekode af visse værktøjer gør det uklart, hvordan disse regler vil påvirke deres distribution.
“Selv hvis almindelige open source-hostingorganisationer som GitHub eller Gitlab skulle indføre GeoIP-restriktioner på download af sådan udpeget indtrængen software, ville det virke trivielt for en forbudt nation blot at VPN gennem en fælles VPN udbyder til at omgå sådanne begrænsninger, “sagde Clements.
“Endelig er det ofte tilfældet, at aktører i disse jurisdiktioner gør brug af piratkopierede versioner af kommercielle værktøjer, hvorved de helt omgår behovet for at erhverve softwaren lovligt.”
Sikkerhed
Hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick. Dette nye phishing-angreb indeholder en våbenbaseret Excel-fil. Har en anden i hemmelighed adgang til din iPhone eller iPad? Supply chain-angreb er hackerens nye foretrukne våben Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
China Security TV Data Management CXO Data Centres 