Trump-administrasjonen publiserte i går et dokument som inneholder en oversikt over hvilke regler som brukes når amerikanske myndigheter avgjør om en IT-sårbarhet skal gjøres kjent eller hemmeligholdes.
Ikke minst etter de siste årene med lekkasjer av kyberangrepsvåpen tilhørende NSA og CIA, har disse etterretningsorganisasjonene fått kritikk for å samle på sårbarheter til eget bruk, framfor å utlevere sårbarhetsinformasjonen til de berørte leverandørene, slik at disse kan fjerne sårbarhetene.
Skadevare som WannaCry og NotPetya utnyttet noen av disse sårbarhetene og angrepsteknikker som NSA hadde utviklet.
Avhenger av sårbarheter
Både NSA og andre etterretningstjenester avhenger av å få tilgang til informasjon som motparten ikke ønsker at å gi fra seg. Når nær sagt all kommunikasjon er kryptert, er det ofte på brukerenhetene at informasjonen enklest tilgjengelig. Og der vil det nesten alltid være sårbarheter som kan utnyttes.
Samtidig har NSA også som oppdrag å bidra til at amerikanske innbyggere og virksomheter ikke blir spionert på av andre parter. Det betyr at NSA både utvikler sikkerhetsløsninger − som SE Linux − og varsler produktleverandører om noen av sårbarhetene som etaten finner.
Tilsvarende gjelder også for andre etterretningsorganisasjoner i USA.
Les også: NSA i hardt vær etter hackerangrep
Vurderingene
Hvilke sårbarheter som holdes hemmelig og hvilke som utleveres til leverandøren, har derimot vært ganske uklart. Det er dette det nye dokumentet fra Det hvite hus skal gjøre klarere.
Avgjørelsen blir ikke tatt av én organisasjon alene, men av en komité, Equities Review Board, hvor både etterretningsorganisasjoner og sivile departementer er representert.
Det er en rekke faktorer som spiller en rolle når hemmeligholdet av sårbarheter skal vurderes. Dette inkluderer slikt som hvor nyoppdaget sårbarheten er, hvor utbredt det berørte produktet er, hvor mye skade utnyttelse av sårbarheten kan forårsake og sannsynligheten for at også motstanderne oppdager sårbarheten.
Tilsvarende vurderes også hvilket potensial sårbarheten har som kybervåpen for amerikanske etterretningsorganisasjoner, både nå eller i framtiden. Det vurderes også om man kan oppnå det samme med eksisterende alternativer.
I det nye dokumentet heter det at i det aller fleste tilfeller vil ansvarlig avsløring av nyoppdagede sårbarheter klart være av nasjonal interesse.
– Samtidig er det legitime fordeler og ulemper ved å avsløre sårbarheter, og avveiningen mellom rask avsløring og det å holde tilbake kunnskaper om noen sårbarheter i en begrenset tid, eller å innføre beskyttelsesstrategi uten å gå ut med all informasjon, har betydelige konsekvenser, heter det i dokumentet.
90 prosent gjøres kjent
Rob Joyce, som er kybersikkerhetskoordinator ved Det hvite hus, holdt ifølge Reuters et foredrag om dette temaet i går.
Der fortalte han at mer enn 90 prosent av sårbarhetene blir gjort kjent til slutt. Det betyr derimot ikke at dette skjer like raskt som det mange på utsiden av etterretningsorganisasjonene ønsker. Faren er da at sårbarhetene i mellomtiden blir kjent, enten gjennom lekkasjer eller ved at også andre parter oppdager dem.
Ifølge reglene skal behovet for hemmelighold vurderes årlig for hver hemmeligholdte sårbarhet.
I et blogginnlegg skriver Joyce at noe av problemet til USA er at landets motstandere sjelden er nødt til å ta slike hensyn.
– Våre motstandere, både kriminelle og nasjonalstater, er ubesværet av bekymringer om åpenhet og ansvarlig avsløring, og vil helt klart ikke avslutte sine egne programmer om å avdekke og utnytte sårbarheter, skriver han.
Joyce mener likevel at regelverket som nå har blitt offentliggjort, er de mest sofistikerte i verden og at de skiller USA fra de fleste andre land.
– Private selskaper får ikke tips fra Kina, Russland, Nord-Korea og Iran om sårbarheter i teknologien deres, hevdet Joyce under foredraget, ifølge Reuters.