De stortvloed aan cyberaanvallen die de wereld overspoelt, zet regeringen en bedrijven aan het denken over nieuwe manieren om hun digitale systemen te beschermen, en de daarin opgeslagen bedrijfs- en staatsgeheimen. Voor een lange tijd, cyberbeveiligingsexperts hebben firewalls opgezet om ongewenst verkeer buiten te houden en lokvogels op hun netwerken geplaatst om hackers die toch binnenkomen af ​​te leiden. Ze hebben ook het internet afgezocht naar hints over wat cybercriminelen zouden kunnen doen om zichzelf en hun klanten beter te beschermen.

Nutsvoorzieningen, Hoewel, veel leiders en functionarissen beginnen na te denken over het opvoeren van hun defensieve activiteiten, door actievere maatregelen te nemen. Een extreme optie binnen dit gebied van actieve verdediging wordt soms "terughacken" genoemd in de systemen van een tegenstander om aanwijzingen te krijgen over wat ze aan het doen zijn, de aanval af te sluiten of zelfs gegevens te verwijderen of anderszins de computers van een aanvaller te beschadigen.

Ik heb de voor- en nadelen van verschillende actieve verdedigingsopties onderzocht met Danuvasin Charoen van het Thai National Institute of Development Administration en Kalea Miao, een niet-gegradueerde Cox-wetenschapper aan de Kelley School of Business van de Indiana University. We hebben een verrassend aantal en variëteit aan bedrijven – en landen – ontdekt die verschillende manieren onderzoeken om proactiever te zijn in hun cyberbeveiligingspraktijken, vaak met weinig fanfare.

Actief worden

Op het oppervlak, het lijkt misschien alsof het spreekwoord klopt:"De beste verdediging is een goede aanval." De schade door cyberaanvallen kan enorm zijn:in mei 2017 een enkel voorval, de WannaCry-cyberaanval, getroffen honderdduizenden systemen over de hele wereld en veroorzaakte meer dan US $ 4 miljard aan verloren productiviteit en kosten voor gegevensherstel. Een maand later, nog een aanval, genaamd NotPetya, kostte de wereldwijde verzendgigant Maersk $ 300 miljoen en verminderde het bedrijf om te vertrouwen op het WhatsApp-berichtensysteem van Facebook voor officiële bedrijfscommunicatie.

Geconfronteerd met deze omvang van verlies, sommige bedrijven willen hun verdediging opvoeren. Bedrijven met geavanceerde technologiesystemen weten wat er nodig is om hun klanten te beschermen, netwerken en waardevolle handelsgeheimen. Ze hebben waarschijnlijk ook medewerkers met de vaardigheden om hackers op te sporen en de eigen systemen van de aanvallers binnen te dringen. Maar de ethiek en implicaties van het rechtvaardigen van een cyberaanval als defensief worden al snel erg ingewikkeld.

Het is vaak onduidelijk, bijvoorbeeld, precies wie er achter een aanval zit – onzekerheid die dagen kan duren, maanden of zelfs jaren. Dus op wie moet de hack-back gericht zijn? Wat als een particulier Amerikaans bedrijf denkt dat het wordt aangevallen door een bedrijf dat eigendom is van de Chinese overheid? Als het terug gehackt is, zou dat een oorlogsdaad tussen de landen zijn? Wat zou er moeten gebeuren om de zakelijke en internationale betrekkingen te herstellen als het bedrijf ongelijk had en de aanvaller ergens anders was? Bedrijven mogen niet in staat worden gesteld om wereldwijde cyberconflicten te starten die ernstige gevolgen kunnen hebben, maar online en offline.

Natuurlijk, het is ook belangrijk om na te denken over wat er kan gebeuren als andere landen hun bedrijven toestaan ​​terug te hacken tegen de inspanningen van de Amerikaanse overheid of bedrijven. Hierdoor kunnen meer Amerikaanse bedrijven het slachtoffer worden van cyberaanvallen, en misschien weinig rechtsmiddelen vinden.

Betrokken bij de wet

Momenteel, terughacken is illegaal, in de VS en in veel landen over de hele wereld. In de VS, de Computer Fraud and Abuse Act maakt het een misdaad om zonder toestemming toegang te krijgen tot een andere computer. Elk lid van de G-7, inclusief de VS, evenals Thailand en Australië, heeft hacking terug verboden. in 2018, meer dan 50 landen - maar niet de VS - hebben een overeenkomst getekend dat particuliere bedrijven in hun land niet mogen hacken.

Echter, aanhangers van actieve defensieve tactieken drukken hun boodschap hard uit. Het presidentiële platform van de Republikeinse Partij in 2016 beloofde ervoor te zorgen dat "gebruikers een zelfverdedigingsrecht hebben om hackers naar eigen goeddunken aan te pakken." In maart 2018, de Georgische staatswetgever heeft een wetsvoorstel aangenomen om "actieve verdedigingsmaatregelen toe te staan ​​die zijn ontworpen om ongeautoriseerde computertoegang te voorkomen of te detecteren". Twee maanden later, toen-Gov. Nathan Deal sprak zijn veto uit, op aandringen van technologiebedrijven die bezorgd zijn over de "implicaties voor de nationale veiligheid en andere mogelijke gevolgen."

Was het wet geworden, Het wetsvoorstel van Georgië zou waarschijnlijk nog steeds in strijd zijn met de federale wet. Echter, wetgevers in Washington hebben ook voorgesteld bedrijven te laten deelnemen aan bepaalde vormen van actieve verdediging. in 2017, Amerikaanse vertegenwoordiger Tom Graves, een Georgische Republikein, stelde de Actieve Cyber ​​Defence Zekerheidswet voor, waardoor bedrijven bepaalde actieve defensiemaatregelen zouden kunnen nemen, inclusief het toezicht houden op potentiële aanvallers, op voorwaarde dat het bedrijf eerst de FBI op de hoogte bracht en dat de actie geen bedreiging vormde voor de "volksgezondheid of veiligheid". Het wetsvoorstel stierf en is nog niet opnieuw ingediend; het zal waarschijnlijk niet ver komen in het nieuwe Democratische Huis.

Actieve verdediging blijft illegaal in de VS en een groot deel van de wereld. Maar de verboden worden in binnen- of buitenland niet gehandhaafd.

Wereldwijd gaan

Niet elk land heeft terughacken verboden. Singapore, bijvoorbeeld, lokale bedrijven heeft toegestaan ​​om actieve defensiemaatregelen te nemen in een poging om te voorkomen dat, detecteren, of specifieke bedreigingen voor zijn kritieke infrastructuur tegen te gaan, inclusief de financiële sector. andere naties, zoals Frankrijk, de particuliere sector niet op de voorgrond willen zien, maar willen actieve defensie nog steeds als een optie voor regeringen behouden.

Hoe meer landen actieve verdediging toestaan, hoe groter de kans dat iedereen – in de VS en over de hele wereld – slachtoffer wordt van een cyberaanval. In plaats van aanvallen af ​​te schrikken, agressieve actieve verdediging vergroot de kans dat de lichten uitgaan, of Amerikaanse stemmachines die onnauwkeurige resultaten geven.

Organisaties kunnen en moeten worden aangemoedigd om passieve verdedigingsmaatregelen te nemen, zoals het verzamelen van informatie over potentiële aanvallers en het melden van inbraken. Maar naar mijn mening moeten ze worden ontmoedigd - zo niet worden verhinderd - om agressief te handelen, vanwege het risico van destabilisatie van de zakelijke en internationale betrekkingen. Als de zoektocht naar cybervrede ontaardt in een tit-for-tat-strijd van digitale waakzaamheid, de wereldwijde onzekerheid zal groter zijn, niet minder.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.