Was tun mit Cyber-Schwachstellen?

0

Erzählen oder nicht?Vor dieser Frage steht eine wenig bekannte, hochgeheimnisvolle US-Regierung, die Cyberlöcher untersucht und entscheidet, ob sie behoben, überwacht oder ausgenutzt werden sollen.Dieser bürokratisch klingende Prozess, der als Vulnerabilities Equities Process (VEP) bekannt ist, ist komplex und folgenschwer.Das VEP könnte dazu beitragen, eine Stilllegung der Colonial Pipeline zu verhindern oder eintreten zu lassen, um mehr über die Täter zu erfahren, die darauf aus sind, die USA und ihre Wirtschaft zu stören.Aber der VEP-Prozess ist so geheim, dass es keine öffentliche Kontrolle gibt, um sicherzustellen, dass Entscheidungen alle für unsere Demokratie notwendigen Sicherheits- und Nichtsicherheitsaktien angemessen abwägen.

Kongress und die Biden-Regierung spielenwichtige Rollen bei der Stärkung des öffentlichen Vertrauens, dass die VEP die Nadel einfädelt, um die Sicherheit zu wahren und unsere Freiheiten zu schützen.In einem kürzlich veröffentlichten Bericht schlagen wir eine Reihe von Korrekturen vor, die zur Verbesserung des VEP erforderlich sind.

Das VEP ist der Prozess der US-Regierung, um zu bestimmen, wann und wie unbekannte Cyber-Schwachstellen an relevante Unternehmen weitergegeben werden odersie für staatliche Zwecke zurückhalten.Die Offenlegung von Schwachstellen gibt der Industrie die Möglichkeit, Lücken in ihrer Software zu schließen und den Exploit-Raum für Hacker und Ransomware-Angreifer zu reduzieren.Das Festhalten an Exploits kann für Geheimdienst-, Strafverfolgungs- und Verteidigungsgemeinschaften ein Segen sein, die diese Schwachstellen nutzen könnten, um in gegnerische Netzwerke einzudringen oder kriminelle Organisationen aufzuspüren.

Offenlegung oder Festhalten anSicherheitslücken haben eine Vielzahl direkter und unbeabsichtigter Folgen.Wenn ein Exploit offen gehalten wird, könnten kritische Infrastrukturen in den USA oder einzelne personenbezogene Daten angreifbar sein, da dieselben Exploits oft auf dem Schwarzmarkt verfügbar sind, während Regierungen sie entdecken.

Closing eines Exploitskönnte bedeuten, eine Gelegenheit zu verpassen, in die Kommunikation einer extremistischen Organisation einzubrechen, die Gewalt im Heimatland plant, oder die Chance, die geheimen Kommunikationen einer feindlichen ausländischen Macht mitzuhören, die auf unser Militärpersonal im Ausland abzielen.

Es ist heikel: Entscheidungen über Offenlegungsfragen zum Schutz der Privatsphäre und der bürgerlichen Freiheiten des amerikanischen Volkes.Die Strafverfolgungsbehörden haben eine ausgesprochen gemischte Bilanz in Bezug auf die rechtlichen und normativen Richtlinien bezüglich dessen, was sie in Bezug auf die Aktivitäten der Bürgerschaft sammelt, sammelt und speichert.Das Zurückhalten von Sicherheitslücken in Software durch die Regierung bedeutet mehr Befugnisse des Bundes, potenziell umfangreiche Durchsuchungen von personenbezogenen Daten durchzuführen, die normalerweise als privat und nicht zugänglich gelten.

Auch die Industrie steht einer Vielzahl von Konkurrenzdrucken gegenüberfür das Wissen, was die Regierung mit den Informationen tun wird, die sie über einen bekannten Exploit gefunden hat.Softwareanbieter möchten Lücken so schnell wie möglich schließen, aber sie möchten nicht, dass Offenlegungen an andere Anbieter oder die Öffentlichkeit weitergegeben werden, sofern dies nicht erforderlich ist.Und was ist, wenn die Regierung entscheidet, dass der Exploit so wertvoll ist, dass er der Industrie nicht mitgeteilt werden sollte?

Ein Unternehmen könnte großen Reputations- und Finanzschaden erleiden, wenn ein bekannter Exploit zu einem größeren Angriff führt, daim Jahr 2017, als die russische Regierung eine Sicherheitslücke ausnutzte, um die NotPetya-Ransomware zu starten, die globale Unternehmen wie Fed-Ex und Merck zwang, ihren Betrieb einzustellen und Millionen von Dollar zu verlieren.Darüber hinaus können, wie der Fall NotPetya zeigt, die Exploits, die die Regierung für diese Schwachstellen entwickelt, gestohlen und für bösartige Handlungen verwendet werden.

Der Schwachstellenaktienprozess wurde 2010 ins Leben gerufen, um Interessenvertreter des Bundes einzubeziehenan den Tisch, um die Bandbreite der nationalen Interessen zu verstehen.2017 wurde eine VEP-Charta erstellt, um der Öffentlichkeit mehr Vertrauen in staatliche Ansätze für diese Folgeaktivitäten zu geben.

Die aktuelle Charta greift in einigen Schlüsselbereichen zu kurz, von denen die meisten durch dieVerwaltung und Absichtserklärungen des Kongresses.Wir identifizieren mehrere Bereiche mit Verbesserungsbedarf durch mehr Transparenz, die Übertragung der Prozesskoordinationsleitung und die verstärkte Vertretung von Privatsphäre und bürgerlichen Freiheiten im VEP als besonders wichtig.

Der VEP kann auf verschiedene andere Weise gestärkt werdenindem (1) Schwachstellen-Broker daran gehindert werden, Geheimhaltungsvereinbarungen aufzuerlegen, die derzeit verhindern könnten, dass die Regierung wichtige Informationen über Schwachstellen mit wichtigen Anbietern teilt;(2) Festlegung von Zeitplänen, um sicherzustellen, dass Maßnahmen gegen Schwachstellen so schnell wie möglich ergriffen werden;(3) den Kongress zu veranlassen, auf bestehenden Gesetzesvorschlägen aufzubauen, um den Prozess gesetzlich zu kodifizieren;und (4) Ermutigung gleichgesinnter internationaler Partner, ähnliche Prozesse wie die VEP einzurichten.

Im Kern entscheidet die VEP, ob die Regierung Cyber-Abwehr oder -Angriff bevorzugt, was eine massive gesellschaftlicheAuswirkungen.Die Öffentlichkeit und die Anbieter brauchen jedoch auch eine Stimme und das Vertrauen, dass Entscheidungen über Schwachstellen im besten Interesse der Nation als Ganzes getroffen werden.Der VEP ist ein starker Ausgangspunkt, aber er muss verbessert werden, wenn wir den anhaltenden Cyberangriffen auf Amerikaner und das Heimatland entgegenwirken wollen.

Todd Rosenblum ist ein ehemaliger Senior USBeamter für Verteidigung und Heimatschutz der Regierung und Senior National Security Fellow bei Third Way, einer Mitte-Links-Denkfabrik.

Share.

Leave A Reply