Het Amerikaanse ministerie van Handel heeft nieuwe regels vrijgegeven die zijn ontworpen om te voorkomen dat bedrijven hacktools verkopen aan China, Rusland en andere landen die deze voor snode doeleinden kunnen gebruiken.
De nieuwe regels, die over 90 dagen van kracht worden en door het Bureau of Industry and Security (BIS) van de afdeling zijn gepusht, regelen de “export, herexport of transfer (in-country) van bepaalde items die kunnen worden gebruikt voor kwaadwillende cybercriminaliteit. activiteiten.”
Bedrijven mogen bepaalde technologie niet aan bepaalde landen verkopen zonder een specifieke licentie van BIS.
De Amerikaanse minister van Handel Gina Raimondo zei in een verklaring dat de VS ” vastbesloten om samen te werken met onze multilaterale partners om de verspreiding van bepaalde technologieën tegen te gaan die kunnen worden gebruikt voor kwaadaardige activiteiten die een bedreiging vormen voor cyberveiligheid en mensenrechten.”
“De voorlopige eindregel van het ministerie van Handel die exportcontroles oplegt op bepaalde cyberbeveiligingsitems is een op de juiste manier toegesneden benadering die de Amerikaanse nationale veiligheid beschermt tegen kwaadwillende cyberactoren en tegelijkertijd legitieme cyberbeveiligingsactiviteiten garandeert”, aldus Raimondo.
De regel certificeert bovendien een nieuwe License Exception Authorized Cybersecurity Exports (ACE) waarover de afdeling nu openbaar commentaar zoekt. Het ministerie van Handel is op zoek naar externe deskundigen om hen te laten weten welke gevolgen de regel voor Amerikaanse bedrijven en de bredere cyberbeveiligingsgemeenschap zal hebben.
Het ministerie legde in een verklaring uit dat de uitzondering “export, wederuitvoer en transport (in het land) van 'cyberbeveiligingsitems' naar de meeste bestemmingen, met behoud van een vergunningsvereiste voor export naar landen die zorgen voor nationale veiligheid of massavernietigingswapens.”
Elk land dat momenteel onder een wapenembargo van de VS valt heeft een licentie nodig om bepaalde technologie te ontvangen
“Bovendien zou de vergunningsuitzondering ACE een beperking van het eindgebruik opleggen in omstandigheden waarin de exporteur, wederexporteur of overdrager weet of redenen heeft om te weten op het moment van uitvoer, wederuitvoer of overdracht (in het land), inclusief een geachte export of wederuitvoer, dat het 'cyberbeveiligingsitem' zal worden gebruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatiesystemen aan te tasten, zonder toestemming van de eigenaar, exploitant of beheerder van het informatiesysteem (inclusief de informatie en processen binnen dergelijke systemen ),”, legt het ministerie van Handel uit.
De afdeling merkte op dat de regel in overeenstemming is met het Wassenaar Arrangement — dat vrijwillig het exportbeleid van 42 verschillende landen regelt rond “militaire en dual-use technologieën”.
De De VS is een van de laatste landen die deel uitmaakt van het Wassenaar Arrangement om dergelijke regels door te voeren. China en Israël zijn geen lid van het Wassenaar Arrangement, maar Rusland wel.
De regels komen na internationale verontwaardiging over een reeks onthullingen over Amerikaanse experts en technologie die wordt gebruikt door repressieve dictaturen. De VS hebben vorige maand drie voormalige NSA-functionarissen hoge boetes opgelegd omdat ze de VAE een reeks krachtige hacktools hadden verstrekt.
De drie voormalige Amerikaanse inlichtingenfunctionarissen maakten deel uit van Project Raven, een poging van de VAE om mensen te bespioneren mensenrechtenactivisten, politici en dissidenten die tegen de regering zijn. De drie hackten zelfs Amerikaanse bedrijven en creëerden twee exploits die werden gebruikt om in smartphones in te breken.
Israëlische functionarissen krijgen nog steeds te maken met terugslag vanwege de tools die worden geleverd door de NSO Group, een privébedrijf dat krachtige spyware verkoopt aan dictaturen en cybercriminele groepen.
The Washington Post was de eerste die rapporteerde over de nieuwe regels van het ministerie van Handel en merkte op dat de regels specifiek gericht waren op bedrijven die verkopen aan Rusland en China. De regel is gecompliceerd vanwege specifieke uitzonderingen die bedoeld zijn om cyberbeveiligingsonderzoekers tevreden te stellen die lang klaagden over hoe de mogelijke regels het voor hen moeilijk zouden maken om defensieve informatie met anderen in het buitenland te delen.
Een van de lastigste problemen die de regel jarenlang hebben opgehouden, was de verkoop van penetratietesttools, die voor bepaalde landen zonder vergunning zijn toegestaan, maar voor andere niet.
Jonathan Reiber, die tijdens de regering-Obama eerder werkzaam was als Chief Strategy Officer voor cyberbeleid in het kantoor van de Amerikaanse minister van Defensie, zei dat het veel tijd kostte om de regels in te voeren omdat de regering het potentieel moest afwegen. kosten en baten voor eventuele exportcontrole.
“Het is niet alleen tijd voor overleg binnen Amerikaanse overheidsinstanties en met het Congres, maar ook tussen de overheid, de particuliere industrie en de onderzoeksgemeenschap. Als je naar de regel zelf kijkt en je voorstelt hoeveel advocaten in verschillende instanties moeten instemmen met de taal voordat een regel publiekelijk kan verschijnen, kun je beginnen te begrijpen waarom de hervorming van de exportcontrole een langzaam proces is”, zei Reiber.
“Het Wassenaar Arrangement is al tientallen jaren van kracht en naarmate het de afgelopen elf jaar volwassen werd door het hervormingsproces van de exportcontrole, wat de staten informeerde over de invoering van de controles erin, waren er legitieme vragen over hoe een mogelijke exportcontrole een negatieve invloed kan hebben op de ontwikkeling en het gebruik van testsoftware die bedoeld is om de cyberbeveiliging te verbeteren.”
Reiber zei dat deze kwestie moeilijk op te lossen is, omdat het hervormingsproces van de exportcontrole twee principes in evenwicht moet houden: afzien van een negatieve invloed op innovatie in de sector en tegelijkertijd controleren op mogelijke negatieve scenario's die kunnen voortvloeien uit de verspreiding van een potentieel gevaarlijk wapen of technologie voor tweeërlei gebruik.
“Recente onthullingen maakten glashelder de risico's die de verspreiding van dergelijke software met zich mee kan brengen, met name voor gerichte individuen, dissidente groepen en kwetsbare bevolkingsgroepen die overgeleverd zijn aan onderdrukkende regimes”, voegde Reiber eraan toe. “Deze gebeurtenissen hebben de ontwikkeling van de regels zeker versneld.”
Chris Clements, vice-president van de oplossingsarchitectuur bij Cerberus Sentinel, zei dat hij niet verwacht dat deze regels een significante impact zullen hebben op de algehele offensieve capaciteiten van veel landen om verschillende redenen.
Enkele van de grootste leveranciers van dergelijke software zijn buiten de VS gevestigd, waar de regelgeving hen misschien niet raakt, legde hij uit, eraan toevoegend dat veel van de meest gebruikte tools open source van aard zijn.
Het open source karakter van bepaalde tools maakt het onduidelijk hoe deze regels hun distributie zullen beïnvloeden.
“Zelfs als gewone open-source hosting-organisaties zoals GitHub of Gitlab GeoIP-beperkingen zouden opleggen voor het downloaden van dergelijke aangewezen inbraaksoftware, zou het voor een verboden land triviaal lijken om gewoon VPN te gebruiken via een gewone VPN provider om dergelijke beperkingen te omzeilen”, aldus Clements.
“Ten slotte is het vaak zo dat actoren in deze rechtsgebieden gebruik maken van illegale versies van commerciële tools, waardoor de noodzaak om de software op een legitieme manier te verwerven volledig wordt omzeild.”
Beveiliging
Hackers verbergen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Deze nieuwe phishing-aanval bevat een bewapend Excel-bestand Heeft iemand anders stiekem toegang tot uw iPhone of iPad? Supply chain-aanvallen zijn het nieuwe favoriete wapen van hackers Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
gerelateerde onderwerpen:
China Security TV Data Management CXO-datacenters 