Polityka i prawo
Odwet w cyberprzestrzeni? Sektor prywatny domaga się skutecznej broni
Najnowsza książka Davida Sangera, „The Perfect Weapon”, wydana 19 czerwca poruszyła kontrowersyjną kwestię działań odwetowych w cyberprzestrzeni. Sprawa dotyczy roku 2013 i działań firmy Mandiant przeciwko chińskim hakerom. Zdania na temat tzw. „hack back” są podzielone.
Mandiant jest firmą zajmującą się bezpieczeństwem w sieci, której klienci w 2013 roku padli ofiarą chińskiej aktywności hakerskiej. Sanger, jako osoba z dostępem do ówczesnych metod działania firmy, napisał, że pracownicy firmy Mandiant aktywowali kamery w laptopach sprawców przez co nieświadomi niczego hakerzy byli pod stałą obserwacją. Kilka dni po publikacji książki, FireEye, firma która przejęła Mandiant w 2013 roku, zaprzecza, jakoby przeprowadzała odwetowe ataki hakerskie. Według umieszczonego 25 czerwca na oficjalnej stronie firmy komunikatu, Mandiant uzyskał pliki wideo dzięki współpracy z poszkodowanymi, a nie w sposób jaki insynuuje Sanger.
Spór w krótkim czasie przerodził się w debatę, której motywem przewodnim wydaje się prawo prywatnych korporacji to tzw. „Hack back”, czyli przeprowadzenia ataków odwetowych w cyberprzestrzeni . Podczas gdy jedna ze stron wyraża swoje obawy mówiąc o ryzyku jakim niesie ze sobą „hack back”, druga utrzymuje opinię o braku efektywności obecnego status quo i konieczności zmian.
Były główny radca prawny NSA, Stewart Baker, jest zdania, że pomysł dania zielonego światła prywatnym firmom na hakowanie jest nierentowny, aczkolwiek uważa, że firmy powinny mieć pełne prawo do przeprowadzania dochodzenia w sprawie ataków na ich infrastrukturę.
Należy jednak zachować ostrożność przy próbach przypisaniu ataku do poszczególnych osób. Eksperci zwracają uwagę na fakt, iż na drodze do ujawnienia tożsamości sprawcy stoi wielu innych użytkowników, którzy mogą być nieświadomi tego, że ich komputery czy dane zostały użyte do przeprowadzenia ataku. John Harbaugh, dyrektor operacyjny w root9B, mówi, że dyskusja nad tą kwestią nie odzwierciedla sytuacji w jakiej znajdują się korporacje, stwierdzając, że tylko garstka firm komercyjnych posiada środki do zainicjowania akcji odwetowej.
Być może rozwiązanie tego sporu przyniesie zaproponowany w ubiegłym roku przez Toma Gravesa, reprezentanta Partii Republikańskiej, projekt ustawy o tzw. aktywnej obronie dający obywatelom USA i firmom prawo do obrony przed atakiem cybernetycznym, jednakże projekt póki co nie został zatwierdzony przez Kongres.