Polityka i prawo

Porozumienie Wassenaar zagraża sektorowi IT

  • fot. mil.ru

Porozumienie Wassenaar regulujące sprzedaż broni i technologii podwójnego użytku, w tym oprogramowania komputerowego, może zagrozić kondycji sektora cyberbezpieczeństwa – uważa konsorcjum złożone z firm zajmujących się tą problematyką.

„Koalicja na rzecz odpowiedzialnego cyberbezpieczeństwa”, w skład której wchodzi m.in. Microsoft zgodziła się z ogólnymi zasadami porozumienia Wassenaar, ale jednocześnie podkreślono, że w odniesieniu do cyberbezpieczeństwa, dokument ten nie osiągnie zamierzonych rezultatów. Wskazuje się tutaj na jego zbyt dużą ogólność i zbyt szeroką interpretację, która będzie wymagała od naukowców, i firm zajmujących się cyberbezpieczeństwem nabycia licencji eksportowych przed wysłaniem ważnych informacji o podatnościach w sieciach i systemach komputerowych. Dotyczy to również sytuacji, w której znalezione błędy umożliwiają śledzenie i podsłuchiwanie – taki pogląd zaprezentowała na konferencji o bezpieczeństwie regionu Azji i Pacyfiku Cristin Goodwin – asystentka szefa działu prawnego firmy Microsoftu. Dodała, że w obecnej formie, porozumienie zmusi Microsoft do wypełniania prawie 4 tys. wniosków o licencje eksportowe w ciągu roku.

Porozumienie z Wassenaar została podpisane przez 41 państwa  w 1994 roku. W grudniu 2013 roku rozpoczęły się prace nad poszerzeniem zakresu obowiązywania dokumentu o narzędzia cyberbezpieczeństwa, rozpoczynając od oprogramowania penetrującego. Nową propozycję skrytykował również dyrektor Symantec Brian Flethcher, który powiedział do zgromadzonych na konferencji, że bardzo trudno jest zrozumieć zawiłości porozumienia ze względu na jego stopień skomplikowania oraz tajność prowadzonych negocjacji. Dodatkowo, Goodwin wskazała, że komitet techniczny, który miał współpracować z branżą IT nie spełnił pokładanych w nim nadziei.

Zarówno Fletcher jak i Goodwing ostrzegali, że rozszerzenie porozumienia będzie miało negatywny wpływ na zdolność międzynarodowej społeczności cyberbezpieczeństwa na odpowiedź na zagrożenia w czasie rzeczywistym. Uwzględnia to dzielenie się kodem złośliwego oprogramowania, tworzenie i używanie narzędzi do przeprowadzania testów penetracyjnych, rozmieszczenie zespołów szybkiego reagowania i konsultantów a nawet dzielenie się informacjami między filiami tego samego przedsiębiorcy położonymi w różnych państwach. Wynika to z różnic w procedurach i licencjach występujących w każdym państwie.

Ich zdaniem, społeczność cyberbezpieczeństwa musi rozpocząć dyskusję w celu stworzenia efektywnych procedur i regulacji dla technologii komputerowych, a nie kopiować gotowe rozwiązania z tradycyjnej kontroli zbrojeń.

W zeszłym roku, Hewlett-Packard i Zero Day Initative wycofywały się ze sponsorowania zawodów hakerskich - Pwn2Own w Japonii obawie przed złamaniem porozumienia z Wassennar.

Harley Geiger, dyrektor polityki publicznej w Rapid7 powiedział SCMagazine, że „porozumienie miało na celu zapobiec pozyskaniu złośliwego oprogramowania i cyberbronii przez represyjne reżimy i złych aktorów”. Przyznał jednak, że proponowana kontrola eksportu poważnie zagrażają prowadzeniu legalnych działań w obszarze cyberbezpieczeństwa, takich jak badania naukowe, dzielenie się informacjami i testowania systemów.

Postanowienia te jednak nie wpływają w żaden sposób na sprzedaż oraz obrót nielegalnym oprogramowaniem w Dark Net. Porozumienie Wassenaar może w ten sposób kompletnie ominąć problem wirusów wykorzystywanych przez hakerów oraz agencję rządowe.

Cyberbezpieczeństwo jest problem światowym i wymaga współpracy transgranicznej. Rząd Stanów Zjednoczonych jest świadomy ryzyka i dlatego negocjuje wprowadzenie poprawek do porozumienia, która pozwolą na poprawienie ochrony niezbędnych narzędzi cyberbezpieczeństwa. Zarazem jednak Amerykanie są świadomi, że znalezienie konsensu wśród sygnatariuszy będzie bardzo trudne.

Steve Armstrong, jeden z dyrektorów w Logically Secure powiedział, że jeżeli porozumienie nie zostanie poprawnie i klarownie sformułowane w odniesieniu do cyberbezpieczeństwa może podzielić los anty-hakerskiego prawa wprowadzonego w Niemczech w 2007 roku. Doprowadziło to do wyjazdów naukowców zajmujących się problematyką cyberbezpieczństwa oraz migracją danych.

Czytaj też: Kiedy cyberatak staje się wypowiedzeniem wojny?

Komentarze