US Cyber ​​War Policy trenger ny fokus, eksperter sier

USA Politikk mot å forsvare seg mot cyberkrigføring må ta en annen tilnærming enn regjeringen har mot andre former for angrep, sa tre cybersikkerhetseksperter torsdag.

Det vil være vanskelig for den amerikanske regjeringen å stemme og følge med med en politikk for cyberfjerning, som det har med nukleare angrep, sa Martin Libicki, en seniorledende forsker som spesialiserer seg på cybersikkerhet ved Rand, en ideell tanketank. For det første er det vanskelig å identifisere angripere, spesielt når noen nasjoner ser ut til å være sponsorer for private angripere, sa han under et møte av Kongressens Cyber ​​Caucus i Washington, DC.

Men det kan også være vanskelig for USA å følge gjennom med trusler av motangrep, når amerikanske cybereksperter ikke vet hvor mye skade angrepene kan gjøre, la han til. Med cyberangrep kan noen land være villige til å spille på USAs evne, i motsetning til atomangrep, sa han.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Enhver avskrekkingspolitikk er utformet for å skremme folk bort, "sa han. "Problemet er, men hvis du ikke kan utføre det, bløffer du. Det er mulig å tro at folk vil ringe vår bløff. Hvis det viser seg at vi ikke kan gjøre det vi sier, ser vi ikke bare flau på oss selv, men vi til slutt kaller alle våre andre avskrekkere i tvil. "

Libicki og to andre cybersikkerhetseksperter, som snakket med medlemmer av den amerikanske kongressen og deres medarbeidere, sa at det ville være vanskelig å lage den riktige nettkamppolitikken. Forumet ble organisert av medlemmer av kongressen interessert i cyberforsvarspolitikk.

Høyttalere på forumet bemerket at USAs forsvarsdepartement begynte å sette opp en enhetlig nettkommando tidligere i år. Men det er fortsatt uklart hva kommandos politikk for cyberkrigsførelse vil se ut, sa Paul Kurtz, en partner på Good Harbor Consulting, som fokuserte på cybersikkerhet. "

" På den ene siden bør du ikke gå rundt og si at du ikke kommer til å avskrekke, og du kommer ikke til å gjengjelde, "sa Libicki. "På den annen side går det faktisk ut og sier det kan føre til mange problemer."

Et problem med en cyber warfare-politikk er mangelen på definisjon av hva som utgjør en handling av cyberkrig, legger Kurtz til. Det er ingen linje som skiller det som utgjør et enkelt cyberangrep fra cyberkrig, sa han.

Det er vanskelig å ha en offentlig debatt om hva den amerikanske regjeringens cyberkrigspolitikk burde være, uten å ha definisjoner. I tillegg kan det ikke være lurt å merke noen land som cybermotstandere, sa han. Selv om den kinesiske regjeringen ofte blir klandert for å støtte cyberangrep, må den amerikanske regjeringen engasjere kineserne om cyberforsvar, sier Kurtz. «Vi trenger fortsatt diskusjon med dem,» sa han. "Hva er ansvarlig atferd? Å angripe kritiske eiendeler er uansvarlig."

Den amerikanske regjeringen trenger imidlertid å erkjenne at cyberangrep kan forårsake "fryktelig skade", la Scott Borg, direktør og økonomidirektør for nonprofit US Cyber ​​Consequences Unit, som undersøker effekten av cyberangrep.

Cyberangrep på et stort antall strømgeneratorer kan ha en varig effekt, med liten amerikansk evne til å støtte nye deler for skadede generatorer, sa han. De fleste delene til elektrisitetsgeneratorer kommer fra Kina og India, sa han. I 2007 kunne sikkerhetsforskere ødelegge en generator gjennom et cyberangrep, ifølge nyhetsrapporter.

"Vi kan ikke finne ut hvordan vi kan erstatte dem som ikke tar noen måneder," sa han.

I de første par dagene fungerer et område med strømforbrenning ganske bra, sa Borg. Etter åtte til ti dager ville 72 prosent av all økonomisk aktivitet i et område uten elektrisitet stoppe, sa han.

Stanser strømmen i et stort område i USA i flere måneder, ville det ha et lignende nivå av skade på økonomi av et atomangrep, sa Borg.