Det amerikanske handelsdepartementet har gitt ut nye regler utformet for å stoppe selskaper fra å selge hackingverktøy til Kina, Russland og andre land som kan bruke dem til ondsinnede formål.
De nye reglene, som trer i kraft om 90 dager og ble presset av avdelingens Bureau of Industry and Security (BIS), regulerer “eksport, reeksport eller overføring (i landet) av visse varer som kan brukes til ondsinnet cyber aktiviteter.”
Bedrifter vil bli utestengt fra å selge noe teknologi til visse land uten en spesifikk lisens fra BIS.
USAs handelsminister Gina Raimondo sa i en uttalelse at USA er ” forpliktet til å samarbeide med våre multilaterale partnere for å hindre spredning av visse teknologier som kan brukes til ondsinnede aktiviteter som truer nettsikkerhet og menneskerettigheter.”
“Handelsdepartementets midlertidige endelige regel som pålegger eksportkontroller på visse cybersikkerhetsartikler er en passende skreddersydd tilnærming som beskytter USAs nasjonale sikkerhet mot ondsinnede cyberaktører samtidig som den sikrer legitime cybersikkerhetsaktiviteter,” sa Raimondo.
Regelen sertifiserer i tillegg en ny License Exception Authorized Cybersecurity Exports (ACE) som avdelingen nå ser etter offentlig kommentar om. Handelsdepartementet leter etter eksterne eksperter for å fortelle dem om hvordan regelen vil påvirke amerikanske selskaper og det bredere cybersikkerhetssamfunnet.
Avdelingen forklarte i en uttalelse at unntaket ville “tillate eksport, reeksport og overføring (i landet) av “cybersikkerhetsartikler” til de fleste destinasjoner, samtidig som et lisenskrav for eksport til land med nasjonal sikkerhet eller masseødeleggelsesvåpen er bekymret.”
Alle land som for øyeblikket er underlagt en amerikansk våpenembargo vil trenge en lisens for å motta viss teknologi
“Videre vil lisensunntaket ACE pålegge en begrensning for sluttbruk under omstendigheter der eksportøren, re-eksportøren eller overføreren vet eller har grunn til å vite det på tidspunktet for eksport, reeksport eller overføring (i landet), inkludert en anses som eksport eller reeksport, at “cybersikkerhetselementet” vil bli brukt til å påvirke konfidensialitet, integritet eller tilgjengelighet til informasjon eller informasjonssystemer, uten tillatelse fra eieren, operatøren eller administratoren av informasjonssystemet (inkludert informasjonen og prosessene i slike systemer ),» forklarte handelsdepartementet.
Avdelingen bemerket at regelen er i tråd med Wassenaar-arrangementet – som frivillig styrer eksportpolitikken til 42 forskjellige land rundt “militære og dobbeltbruksteknologier.”
USA er et av de siste landene som er en del av Wassenaar-arrangementet til å vedta regler som dette. Kina og Israel er ikke medlemmer av Wassenaar-arrangementet, men Russland er det.
Reglene kommer etter internasjonalt ramaskrik over en rekke avsløringer om amerikanske eksperter og teknologi som brukes av undertrykkende diktaturer. USA bøtelagt tre tidligere NSA-tjenestemenn i forrige måned for å ha gitt UAE en rekke kraftige hackingverktøy.
De tre tidligere amerikanske etterretningstjenestemennene var en del av Project Raven, et forsøk fra UAE for å spionere på mennesker rettighetsforkjempere, politikere og dissidenter som er motstandere av regjeringen. De tre hacket til og med inn i amerikanske selskaper, og skapte to bedrifter som ble brukt til å bryte seg inn på smarttelefoner.
Israelske tjenestemenn fortsetter å møte tilbakeslag på grunn av verktøyene levert av NSO Group, et privat selskap som selger kraftig spionprogramvare til diktaturer og nettkriminelle grupper.
Washington Post var den første som rapporterte om de nye reglene fra handelsdepartementet, og la merke til at reglene spesifikt var rettet mot selskaper som selger til Russland og Kina. Regelen er komplisert på grunn av spesifikke utskjæringer som er ment å berolige cybersikkerhetsforskere som lenge klaget over hvordan de potensielle reglene ville gjøre det vanskelig for dem å dele defensiv informasjon med andre i utlandet.
Et av de vanskeligste problemene som har holdt oppe regelen i årevis, var salget av verktøy for penetrasjonstesting, som vil være tillatt uten lisens for enkelte land, men ikke tillatt for andre.
Jonathan Reiber, som tidligere fungerte som strategisjef for cyberpolitikk ved kontoret til den amerikanske forsvarsministeren under Obama-administrasjonen, sa at det tok lang tid å sette reglene på plass fordi regjeringen måtte veie potensialet. kostnader og fordeler ved eventuell eksportkontroll.
“Det er ikke bare tid for diskusjon i amerikanske offentlige etater og med Kongressen, men mellom regjeringen, privat industri og forskningsmiljøet. Hvis du tar en titt på selve regelen og ser for deg hvor mange advokater i ulike etater som må gå med på språket før en regel kan dukke opp offentlig, kan du begynne å få en følelse av hvorfor eksportkontrollreformen er en langsom prosess,” sa Reiber.
“Wassenaar-arrangementet har vært på plass i flere tiår, og ettersom det ble modnet i løpet av de siste elleve årene gjennom eksportkontrollreformprosessen, og informerte om statenes vedtak om kontrollene innenfor den, ble det reist legitime spørsmål om hvordan en potensiell eksportkontroll kan ha en negativ innvirkning på utviklingen og bruken av testprogramvare beregnet på å forbedre cybersikkerheten.”
Reiber sa at dette spørsmålet var vanskelig å løse fordi reformprosessen for eksportkontroll må holde to prinsipper i balanse: å avstå fra å påvirke industriens innovasjon negativt, samtidig som han kontrollerer potensielle negative scenarier som kan oppstå fra spredning av et potensielt farlig våpen eller dual-use teknologi.
“Nylige avsløringer gjorde krystallklar risikoen som spredning av slik programvare kan utgjøre, spesielt for målrettede personer, dissidentgrupper og sårbare befolkninger som lever under undertrykkende regimers nåde,” la Reiber til. “Disse hendelsene kan absolutt ha akselerert utviklingen av reglene.”
Chris Clements, visepresident for løsningsarkitektur i Cerberus Sentinel, sa at han ikke forutser at disse reglene vil ha vesentlig innvirkning på de generelle offensive evnene i mange land av flere grunner.
Noen av de største leverandørene av slik programvare er basert utenfor USA hvor reguleringen kanskje ikke påvirker dem, forklarte han og la til at mange av de mest brukte verktøyene er åpen kildekode.
Åpen kildekode-naturen til visse verktøy gjør det uklart hvordan disse reglene vil påvirke distribusjonen deres.
“Selv om vanlige hostingorganisasjoner med åpen kildekode som GitHub eller Gitlab skulle vedta GeoIP-restriksjoner for nedlasting av slik utpekt inntrengningsprogramvare, ville det virke trivielt for en forbudt nasjon å bare VPN gjennom en felles VPN leverandør for å omgå slike restriksjoner,” sa Clements.
“Til slutt er det ofte slik at aktører i disse jurisdiksjonene bruker piratkopierte versjoner av kommersielle verktøy, og omgår behovet for å anskaffe programvaren lovlig.”
Sikkerhet
Hackere skjuler sin ondsinnede JavaScript-kode med et triks som er vanskelig å slå. Dette nye phishing-angrepet har en våpenbasert Excel-fil Har noen andre i hemmelighet tilgang til iPhone eller iPad? Supply chain-angrep er hackerens nye favorittvåpen Cybersecurity 101: Protect your privacy from hackers, spies, the government
Relaterte emner:
China Security TV Data Management CXO Data Centers 