Meldingen van kwaadaardige en gerichte cyberaanvallen komen steeds vaker voor over de hele wereld. Begin februari, bijvoorbeeld, Australische veiligheidsdiensten hebben onthuld dat er een poging tot hacken op het parlement van het land wordt onderzocht. en had niet uitgesloten dat een ander land erachter zat.

Naarmate er meer complexe en potentieel schadelijke aanvallen op kritieke nationale infrastructuursystemen worden ontdekt, De roep om internationale regels om dit opkomende strijdfront te regeren, wordt steeds luider.

De inspanningen voor cyberwapenbeheersing waren voornamelijk gericht op een model waarbij de "wapens" betrekking hebben op bewapende code - specifieke hacktools of de softwarekwetsbaarheden die ze mogelijk maken. Er zijn pogingen ondernomen om de verspreiding en verspreiding van zogenaamde "zero-day exploits" tegen te gaan - de fouten in de code van een programma waardoor kwaadwillende aanvallers de systemen waarop ze worden uitgevoerd, kunnen verstoren.

Een recente publicatie van Reuters over de operaties van een clandestiene vleugel van de National Electronic Security Authority (NESA) van de Verenigde Arabische Emiraten (VAE) legde een ander onderdeel van offensieve cyberaanvallen bloot:expertise. Deze kwestie leidde tot verdere internationale aandacht toen de FBI medio februari aanklachten aankondigde tegen Monica Witt, een voormalig analist van de Amerikaanse luchtmacht, beschuldigd van spionage en overgelopen naar Iran.

Cyberhuurlingen

In het onderzoek van Reuters werd gedetailleerd beschreven hoe sommige voormalige werknemers van de Amerikaanse National Security Agency (NSA), medewerkers met expertise in digitale penetratietechnieken, online verzamelen van inlichtingen en offensieve cyberoperaties, werden gecontracteerd via een in Maryland gevestigd bedrijf om voor de VAE te werken.

In het onderzoek wordt specifiek melding gemaakt van een van de instrumenten – Karma – die deze aannemers namens de VAE hebben ingezet tegen specifieke doelen. Met deze hacktool konden de operators onuitgenodigd en op afstand toegang krijgen tot de Apple-telefoon van een doelwit via een niet-gespecificeerde fout waarvan nu wordt aangenomen dat deze door Apple is verholpen. Reuters meldde dat de doelen van deze aanvallen varieerden van mensenrechtenactivisten, aan Amerikaanse journalisten.

Het artikel riep vragen op over de vraag of deze contractanten hun NESA-medewerkers mogelijk hebben voorzien van geavanceerde cybermogelijkheden die zijn ontwikkeld door hun voormalige werkgever, de NS. Maar de subtekst van het Reuters-onderzoek is dat de expertise van deze voormalige inlichtingenofficieren net zo aantrekkelijk is voor hun nieuwe werkgevers als alle instrumenten die ze met zich meebrengen.

In een apart artikel, specifiek karma onderzoeken, Reuters beweert dat het door de Emirati-regering is gekocht van een verkoper buiten het land. In werkelijkheid, de VAE had een team van werkloze gespecialiseerde ingenieurs ingehuurd die de gereedschappen die ze in de VS hadden gebruikt niet mee konden nemen, dus kocht het hen vervolgens het gereedschap dat ze nodig hadden om de klus te klaren. Dit suggereert dat er twee componenten nodig zijn om elke staat of groep uit te rusten met geavanceerde cybercapaciteiten:de tools en de expertise.

Tools en expertise

Er worden wereldwijd inspanningen geleverd om de tools die worden gebruikt bij cyberaanvallen te beheren, zoals de Global Commission on the Stability of Cyberspace, die een reeks internationale normen introduceerde over het gebruik van cyberspace om de stabiliteit van internet en goede praktijken van alle betrokkenen te bevorderen. Andere inspanningen waren op wetgevend niveau, zoals specifieke toevoegingen aan het Wassenaar Arrangement, een exportcontroleregeling die tot doel heeft de verspreiding van civiele technologieën die voor gemilitariseerd gebruik kunnen worden ingezet, in te perken. Maar de expertise van cyberagenten heeft tot nu toe weinig aandacht gekregen.

In het scenario beschreven door Reuters, NESA en zijn Project Raven hadden niet kunnen werken zonder de tools of de expertise. De tool zelf – Karma – en de expertise en ervaring die nodig is om het te gebruiken en anderen te trainen om dit te doen, beide vergen aanzienlijke investeringen.

De gevaren van staatsinvesteringen in het verzamelen van softwarefouten en het creëren van krachtige tools die vervolgens misbruik maken van deze voorheen onbekende zwakheden, werden pijnlijk aangetoond door het lekken van de kwetsbaarheid die door de NSA was opgeslagen. Eeuwig Blauw. Dit was de ruggengraat van de WannaCry-aanval die in 2018 internationale krantenkoppen haalde door zijn impact op de Britse NHS en andere internationale bedrijven en overheidsdiensten.

Maar de bezorgdheid zou moeten toenemen over het vermogen dat staten investeren in de vaardigheden van de mensen die fouten in de software ontdekken en vervolgens gebruiken als wapen voor onze steeds meer onderling verbonden en internetafhankelijke levens. Overheden over de hele wereld bereiden zich voor op wat zij zien als het volgende domein van oorlogsvoering door te proberen bestaand talent te rekruteren voor overheidsprojecten of door de volgende generatie cyberbeveiligingsexperts op te leiden waarvan ze hopen dat ze hen een voordeel zullen geven.

Het risico bestaat dat bij wereldwijde inspanningen die gericht zijn op het gebruik van cybertools door staten en het misbruiken van kwetsbaarheden in programmeercode, er ontstaat een kloof op het gebied van wetgeving en bestuur. Dit zou ertoe kunnen leiden dat staten investeren in het opleiden van cyberspionnen, saboteurs or soldiers of the future only to find those critical skills and the capability they provide being snapped up by the highest bidder.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.