Paneldesign for nasjonal dialog om govt-cyberangrep

USA trenger å engasjere seg i en nasjonal dialog om regjeringens bruk av cyberangrep mot andre nasjoner, og regjeringen mangler en omfattende politikk om hvordan og når den skal engasjere seg i cyberwarfare, sa en ny studie.

Den amerikanske regjeringen mangler også en person eller kontor for å koordinere cyberattacks, og byråer som angriper, bør regelmessig kortlegge den amerikanske kongressen om deres innsats, sa rapporten fra et panel av militære, diplomatiske, juridiske og IT-sikkerhetseksperter samlet av Nasjonalt forskningsråd, en ideell organisasjon som gir Politisk råd til den amerikanske regjeringen.

Den amerikanske regjeringens nåværende politiske og juridiske rammeverk for bruk av cyberangrep er "dårlig informert, uutviklet og svært usikkert", sa rapporten. Den amerikanske regjeringen har ingen omfattende politikk for hvordan man skal reagere på cyberangrep eller hvordan det vil bruke cyberangrep, sa rapporten, utgitt onsdag.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Det amerikanske militæret er utvikle cyberwarfare-muligheter, og kanskje allerede har brukt dem, og amerikanske etterretningsorganer har også muligheten til å trenge inn i datanettverk, sier Kenneth Dam, en tidligere juristprofessor som tidligere har hatt ledende stillinger i US Department of Treasury and State. Men disse evnene har blitt utviklet i stor grad uten offentlig diskusjon om når cyberattacks er hensiktsmessige, sa han. Hemmeligheten omkring amerikanske cyberattack-evner har hindret debatt om de juridiske og etiske problemene knyttet til cyberangrep og konsekvensene av slike angrep, sa Dam.

I mange tilfeller vil en cyberattack ha en mye større effekt enn en ødelagt datamaskin eller et nettverk, legger William Owens, en pensjonert marine admiral og tidligere administrerende direktør i Nortel Networks. Et angrep på noen datamaskiner kan føre til at elnettet slår seg av eller en rørledning for å slutte å jobbe, noe som forårsaker utbredt problemer i det målrettede landet, sa han.

"Når du angriper en datamaskin, er det ikke bare å angripe en datamaskin, det er åpenbart angriper alt som datamaskinen serverer, "sa Owens.

Representanter for US Air Force og USAs direktør for National Intelligence, to organisasjoner som var involvert i cyberattacks og forsvar, reagerte ikke umiddelbart på en forespørsel om kommentar til rapporten.

Den amerikanske regjeringen ser ikke ut til å ha en policy om når den skal bruke cyberangrep og hva svaret vil ta når et annet land angriper sine datanettverk, sa Owens. Derfor er det behov for offentlig debatt, la han til.

Billige verktøy for å angripe datanettverk er lett tilgjengelige, og det er sannsynlig at den amerikanske regjeringen vil fortsette å møte alvorlige cyberangrep godt inn i fremtiden, la Owens til. "Vedvarende ensidig dominans av cyberspace er verken realistisk eller oppnåelig av USA," sa han.

Rapporten skiller mellom cyberattacks og cyberexploitation. Det definerer cyberattacks som innsats for å skade eller ødelegge datamaskiner og nettverk, mens cyberexploitation er en lunefull innsats beregnet på å kompromittere informasjon som holdes på datamaskiner. Rapporten fokuserer i stor grad på cyberangrep.

I de senere år har mange medierapporter pekt på cyberangrep som kommer fra Kina eller Russland. Tidligere i måneden nektet Kina rapporter om at den har installert skadelig programvare på det amerikanske elnettet som er utformet for å stenge det.

Nasjonalt forskningsråd peker ikke på fingrene i bestemte land, men det krever at den amerikanske regjeringen har en uttalte politikk om hvordan det vil reagere på angrep. Det er imidlertid ofte vanskelig å identifisere hvor angrepene kommer fra eller om en utenlandsk regjering var involvert, sa Dam.

Nylige angrep som tilskrives Kina og Russland ser ut til å komme fra studenter som har på seg tøfler og pyjamas, ikke fra utenlandske militærer, sa John Jiang, CTO hos Xana, en leverandør av cybersikkerhet basert i Reston, Virginia. Det ville være vanskelig for USA å motta i slike tilfeller, sa Jiang, som var i publikum for annonsering av rapporten.

Dam ble enige om, men sa det er enkelt for nasjoner å ansette private "patriotiske hackere" for å utføre cyberangrep.

Den amerikanske styrkenes støtende cyberkapasiteter kom også opp under en høring før USAs senatts sikkerhet og regjeringskomite i tirsdag. Senator Roland Burris, en Illinois-demokrat, spurte et panel av cybersikkerhetseksperter om USA hadde muligheten til å reagere på cyberangrep med sine egne angrep. «Det synes mest sannsynlig at vi er på defensiv i alt dette,« Burris sa. «Gjør vi i dette landet noe i lovbruddet?» Den amerikanske regjeringen har betydelige støtende evner, men er også et viktig mål, sier James Lewis, direktør for teknologi og offentlig politikk på senter for strategisk og internasjonal Studier, Washington, DC, tenktank.

"Vi har støtende evner som er blant de beste i verden," sa Lewis. "Problemet er hva jeg vil kalle asymmetrisk sårbarhet. Vi er et målrettet miljø. Så selv om vi er like gode som våre motstandere, har de flere ting å skyte på."