Det amerikanska handelsdepartementet tillkännagav en ny regel för att förhindra försäljning av hackningsverktyg till Kina och Ryssland, rapporterar The Washington Post. Handelsdepartementet redogjorde för förändringen i ett pressmeddelande på onsdagen, som kräver att amerikanska företag har licens för att sälja spionprogram och annan hackningsprogramvara till länder “av nationell säkerhet eller av massförstörelsevapen.”
Regeln är komplex och målmedvetet så. Om ett amerikanskt företag vill exportera spionprogram till en regering som utgör ett nationellt säkerhetsproblem, skulle företaget behöva en licens. Men om programvaran är specifikt för cyberförsvar och inte säljs till någon associerad med regeringen, skulle ingen licens behövas. Som The Post förklarar kommer företag att behöva en licens för att exportera hackingmjukvara och utrustning till Kina, Ryssland och andra börsnoterade länder, oavsett om det är för cyberförsvar eller inte.
“USA har åtagit sig att arbeta med våra multilaterala partners för att avskräcka spridningen av viss teknik”
“USA har åtagit sig att arbeta med våra multilaterala partners för att avskräcka spridningen av viss teknik som kan användas för skadliga aktiviteter som hotar cybersäkerhet och mänskliga rättigheter”, sa Gina M. Raimondo, USA:s handelsminister.
Regeln kommer att träda i kraft i slutet av januari och riktar sig till verktyg och programvara som Pegasus. Denna påträngande programvara, gjord av det israeliska företaget NSO Group, användes av regeringar för att spionera på smartphones som tillhör journalister och människorättsaktivister. Den kan stjäla data från mobiltelefoner och till och med vrida på en enhets mikrofon, samtidigt som den går obemärkt förbi.
Även om USA är medlem i Wassenaar-arrangemanget, en frivillig exportkontrollregim som anger regler för export av teknologi med dubbla användningsområden, är det ett av de sista av de 42 deltagande länderna att införa restriktioner för försäljningen av hackningsverktyg. Säkerhetstjänstemän som pratade med The Post säger att USA tog så lång tid att skapa regeln på grund av dess komplexitet – om den görs på felaktigt sätt kan en sådan begränsning förhindra cybersäkerhetsspecialister från att samarbeta med experter från andra länder.
Handelsdepartementet tillåter en period på 45 dagar för allmän kommentar och sedan ytterligare 45 dagar för att göra ytterligare ändringar innan den officiellt träder i kraft.