Ένα νέο νομοσχέδιο των ΗΠΑ καθιστά νόμιμο για ιδιωτικές εταιρείες να κυνηγήσουν τους hackers.
Συγκεκριμένα, ένα draft νομοσχέδιο των ΗΠΑ επιτρέπει στα θύματα μιας κυβερνοεπίθεσης να κυνηγήσουν νομικά τους υπόπτους.
Ο νόμος, γνωστός ως Cyber Defense Certainty Act (ACDC) δίνει το ελεύθερο στα θύματα να εντοπίσουν τους hackers εισβάλλοντας στα συστήματα οργανισμών που υποπτεύονται ότι οι κακόβουλοι χρήστες έχουν χρησιμοποιήσει για να προσφύγουν σε επιθέσεις.
Συχνά, αυτοί οι οργανισμοί μπορεί να είναι άλλες εταιρείες που δεν γνωρίζουν ότι οι υπολογιστές τους έχουν παραβιαστεί. Από την άλλη, ένας υφιστάμενος νόμος των ΗΠΑ απαγορεύει αυτό το είδος καταδίωξης, το οποίο είναι γνωστό ως “hacking back”.
Μόνο μερικοί κυβερνητικοί φορείς, όπως το FBI, έχουν την εξουσία να κυνηγούν υποτιθέμενους hackers με αυτόν τον τρόπο.
Οι υποστηρικτές του νομοσχεδίου για την ασφάλεια στον κυβερνοχώρο, που πρόσφατα εισήχθη στο Κογκρέσο των ΗΠΑ, λένε ότι το FBI και άλλες κυβερνητικές υπηρεσίες ήδη αντιμετωπίζουν πολλές υποθέσεις cyberattack, συμπεριλαμβανομένου του «ransomware» που έχει παραλύσει τα συστήματα υπολογιστών σε πόλεις όπως η Ατλάντα και η Βαλτιμόρη και οι τεράστιες κλοπές δεδομένων σε μεγάλες εταιρείες όπως η αλυσίδα ξενοδοχείων Marriott.
Θεωρητικά, η παροχή της δυνατότητας στις επιχειρήσεις και τα άτομα να πάρουν τον νόμο στα χέρια τους λειτουργεί επικουρικά στις προσπάθειες των οργανισμών.
Fighting back
Ο Tom Graves και ο Josh Gottheimer, υποστηρίζουν ότι οι επιχειρήσεις και άλλοι οργανισμοί του ιδιωτικού τομέα χρειάζονται μεγαλύτερη ελευθερία για να υπερασπιστούν τον εαυτό τους. Τόνισαν, επίσης, ότι ορισμένες επιχειρήσεις έχουν ήδη ασχοληθεί με ορισμένες μορφές ψηφιακής επαγρύπνησης και ότι το νομοσχέδιο τους θα καθαρίσει τη γκρίζα περιοχή γύρω από αυτό.
Η προτεινόμενη νομοθεσία θα τροποποιήσει έναν ισχύοντα νόμο των ΗΠΑ, τον Computer Fraud and Abuse Act (CFAA) νόμο, επιτρέποντας σε επιχειρήσεις και ιδιώτες να “απαντήσουν” στους hackers. Θα μπορούσαν επίσης να παρακολουθήσουν τα συστήματα των επιτιθέμενων και να διαταράξουν τις λειτουργίες τους.
Το νομοσχέδιο αναφέρει ότι η δυνατότητες αυτές πρέπει να χρησιμοποιούνται μόνο από «ειδικούς» που είναι σίγουροι για την ταυτότητα των επιτιθέμενων. Πρέπει να ενημερώσουν το FBI και να ζητήσουν καθοδήγηση από αυτό πριν από το fight back και να καταβάλλουν κάθε δυνατή προσπάθεια για να αποφύγουν την καταστροφή των συστημάτων τρίτων.
Βέβαια, λαμβάνοντας υπόψη τα προαναφερθέντα, ο νόμος ACDC έχει σοβαρές ελλείψεις καθώς:
- Οι περισσότερες εταιρείες δεν έχουν τα προσόντα να “απαντήσουν” στους hackers.
- Είναι πραγματικά δύσκολο να γνωρίζουμε με βεβαιότητα ποιος κρύβεται πίσω από ένα cyberattack
- Η νομοθεσία δεν παρέχει καμία προστασία ή εγγύηση αν η κατάσταση γίνει ανεξέλεγκτη
- Πιθανότατα να δημιουργηθούν έχθρες και καταστροφικές εκδικητικές συμπεριφορές.
- Οι εταιρείες θα μπορούσαν να βρεθούν αντιμέτωπες με τα έθνη-κράτη
