Paneldopkald til national dialog om cyberangreb

USA skal indlede en national dialog om regeringens brug af cyberangreb mod andre nationer, og regeringen mangler en omfattende politik om, hvordan og hvornår det vil deltage i cyberwarfare, siger en ny undersøgelse.

Den amerikanske regering mangler også en person eller kontor til at koordinere cyberangreb, og agenturer, der angriber, bør regelmæssigt kortlægge den amerikanske kongres om deres indsats, sagde rapporten fra et panel af militære, diplomatiske, juridiske og it-sikkerhedseksperter, der blev samlet af National Research Council, en nonprofitorganisation, der giver Politisk rådgivning til den amerikanske regering.

Den amerikanske regerings nuværende politiske og juridiske rammer for brugen af ​​cyberangreb er "uinformeret, uudviklet og meget usikkert", siger rapporten. Den amerikanske regering har ingen omfattende politik om, hvordan man skal reagere på cyberangreb eller hvordan det vil bruge cyberangreb, sagde rapporten, udgivet onsdag.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det amerikanske militær er udvikle cyberwarfare-muligheder og måske allerede har brugt dem, og amerikanske efterretningsagenturer har også evnen til at trænge ind i computernetværk, siger Kenneth Dam, en tidligere lovprofessor, der tidligere har haft ledende stillinger i US Department of Treasury and State. Men disse kapaciteter er udviklet i vid udstrækning uden offentlig diskussion om, hvornår cyberangreb er hensigtsmæssige, sagde han.

Hemmeligheden omkring amerikanske cyberattack-kapaciteter har forhindret debat om de juridiske og etiske problemer i forbindelse med cyberangreb og konsekvenserne af sådanne angreb, sagde Dam.

I mange tilfælde vil en cyberattack have en meget større effekt end en ødelagt computer eller netværk, tilføjede William Owens, en pensioneret marine admiral og tidligere administrerende direktør for Nortel Networks. Et angreb på nogle computere kan medføre, at elnettet lukker ned eller en rørledning for at stoppe med at arbejde, hvilket forårsager udbredte problemer i det målrettede land, sagde han.

"Når du angriber en computer, er det ikke bare at angribe en computer, det er selvfølgelig angriber alt, hvad computeren tjener, "sagde Owens.

Repræsentanter for US Air Force og USA's direktør for National Intelligence, to organisationer involveret i cyberattacks og forsvar, reagerede ikke straks på en anmodning om kommentar til rapporten.

Den amerikanske regering synes ikke at have en politik om, hvornår den vil bruge cyberangreb og hvilket svar det vil tage, når et andet land angriber sine computernetværk, sagde Owens. Derfor er den offentlige debat nødvendig, tilføjede han.

Billige værktøjer til at angribe computernetværk er let tilgængelige, og det er sandsynligt, at den amerikanske regering fortsat vil have alvorlige cyberangreb i fremtiden, tilføjede Owens. "Den vedvarende ensidige dominans af cyberspace er hverken realistisk eller opnåelig af USA," sagde han.

Rapporten skelner mellem cyberattacks og cybersploitation. Det definerer cyberattacks som bestræbelser på at beskadige eller ødelægge computere og netværk, mens cyberexploitation er en uhyggelig indsats med det formål at kompromittere informationer på computere. Rapporten fokuserer stort set på cyberangreb.

I de seneste år har mange medierapporter peget på cyberangreb, der kommer fra Kina eller Rusland. Tidligere i måneden nægtede Kina rapporter om, at den har installeret malware på det amerikanske elnet designet til at lukke det ned.

Rapporten fra National Research Council peger ikke på fingre i bestemte lande, men det opfordrer den amerikanske regering til at have en udtalt politik om, hvordan det vil reagere på angreb. Det er dog ofte svært at identificere, hvor angreb kommer fra, eller om en udenrigsregering var involveret, sagde Dam.

Nylige angreb til Kina og Rusland synes at komme fra universitetsstuderende iført "tøfler og pyjamas", ikke fra udenlandske militærer, sagde John Jiang, CTO hos Xana, en cybersecurity sælger baseret i Reston, Virginia. Det ville være svært for USA at modangreb i disse tilfælde, sagde Jiang, som var i publikum for at offentliggøre rapporten.

Dam blev enige om, men sagde det er nemt for nationer at ansætte private "patriotiske hackere" for at udføre cyberangreb.

Den amerikanske regerings offensive cyberkapacitet kom også op under en høring før USA's senatlige hjemlandssikkerheds- og regeringsudvalg tirsdag. Senator Roland Burris, en Illinois-demokrat, spurgte et panel af cybersikkerhedseksperter om USA havde evnen til at reagere på cyberangreb med sine egne angreb. "Det synes mest sandsynligt, at vi er i defensive i alt dette," Burris sagde. "Er vi i dette land gør noget i lovovertrædelsen?"

Den amerikanske regering har betydelige offensiv kapacitet, men er også et stort mål, siger James Lewis, direktør for teknologi- og offentlighedspolitikken på Center for Strategic and International Studier, Washington, DC, tænketank.

"Vi har offensiv kapacitet, der er blandt de bedste i verden," sagde Lewis. "Problemet er, hvad jeg ville kalde asymmetrisk sårbarhed. Vi er et målrettet miljø. Så selvom vi er så gode som vores modstandere, har de flere ting at skyde på."