关于网络安全 您要关注《瓦森纳协定》--网盾宝

关于网络安全 您要关注《瓦森纳协定》

2016-12-29 10:33:41

如果你身处网络安全行业,那你一定知道《瓦森纳协定》,它是一个多边出口控制机制,旨在防止武器跨国扩散。该协定目前有41个成员国,包括26个欧盟独立成员国(外加英国)。但欧盟本身未参与其中。早前在维也纳召开的《瓦森纳协定》会议上,美国试图重新修订《瓦森纳协议》,修订后网络安全工具出口将更容易。但奥巴马政府未能与其它39个国家就修订安全软件出口控制协议达成一致。

2013年,出口限制技术范围被拓宽,其包括基于互联网的监控系统(包括“入侵软件”)。但这个措辞并未适当区分善意用途和恶意用途的入侵软件。尽管近期做了一些变更,但措辞范围仍宽泛,且潜在损害网络安全行业和安全研究界。

协定的目的是限制FinFisher GmbH和HackingTeam这类公司将监控技术提供予专制政府用来打击持不同政见者。这些产品仍能出口,但必须取得有效的出口许可证。然而,《瓦森纳协定》的措辞潜在禁止出口强化网络安全的渗透测试技术。

美国四名国会议员2015年7月向美国工业和安全局写到:“我们发现实施这类技术的出口规则中存在两大显著挑战。第三方往往将漏洞披露给专门为此而创建的匿名电子邮箱。因此,安全研究人员无法了解谁会看到这些漏洞。要求严格的监管链,确保研究人员不会通过与开发人员聘用的外国公民共享而无意“出口”漏洞轻易破坏整个报告生态系统,并且,企业可能无法与国际分支机构共享威胁数据,至少无法及时共享。

第二个问题对全球性组织或企业尤为重要。《瓦森纳协定》中宽泛的措辞可能会使安全研究人员和企业必须取得出口许可证,以跨境共享漏洞代码。共享这类信息目前是识别并缓解安全漏洞的相对常规做法。这甚至可能意味着“跨国组织或企业可能需要取得出口许可证,以在全球不同国家的子公司之间传输渗透软件。

该协定中的措辞尤其对美国影响最大,因为美国在全球有大量技术公司。去年,一名美国代表一直希望修改协定的措辞,例如,允许研究人员之间“合法”跨国传输漏洞利用代码,以及在组织内部传输渗透测试代码。

如果要修订《瓦森纳协定》必须41个成员国一致同意,而其中过半的成员国为欧盟成员国。12月召开的这次会议同意对一些细微的措辞进行修改,但不同意美国提出的修订请求。这样一来,《瓦森纳协定》对合法安全研究的影响担忧仍存在。

美国国会议员近日发表声明表示,“《瓦森纳协定》成员国拒绝对入侵软件的出口控制规则做出修订,我深感失望,尤其某些控制涉及成员国发展的必需技术。”

Lutasecurity的首席执行官兼美国代表团的行业顾问穆索瑞斯通过推特表示,“今年的《瓦森纳协定》会议结果令人遗憾。希望下一届政府支持我们继续努力。”

1

有些人指出,是欧盟导致修订失败。穆索瑞斯推特称,“如何用一句话描述导致《瓦森纳协定》修订失败的原因,它可能是EC No. 428/2009。” 428/2009法规是欧盟的“双用途”机制。

据了解,7月泄露的草案提议显示,欧洲委员会(European Commission)已经开始更新428/2009。然而,早期的设想认为,428/2009法规将会澄清入侵软件的合法用途。这类双用途法规的潜在意外后果是,安全研究人员将会因担心违反规则不能协作、共享信息或发布结果。该阶段尚不清楚这种担忧是否毫无根据,但我认为,作为企业,我们会谨慎遵循该法规。

目前,看起来是欧盟有意维持现有规则,而非与解决措辞问题。这可能与动机有关。欧盟这样做的主要驱动力为政治,而美国修订规则的驱动力是经济。

然而,虽然企业和安全研究人员也许会对有限的措辞修改失望,但事情肯定不会如此糟糕。那么问题来了,下一届特朗普政府是否会支持继续,目前两党国会网络安全核心会议(Congressional Cybersecurity Caucus)支持并建议明年继续再商议。