Behöver vi en digital Genèvekonvention?

Microsofts president Brad Smith





Genèvekonventionen, som undertecknades av krigströtta nationer i augusti 1949, binder nu 196 länder för att skydda civila i krigsområden. Microsofts president, Brad Smith, hävdar att USA och andra länder nu behöver utarbeta en digital motsvarighet för att skydda civila och företag som hamnar i korselden av konstant cyberkrig.

Under de senaste åren har dator- och säkerhetsföretag avslöjat eller blivit offer för skadlig programvara och nätverksattacker som verkar kopplade till militära eller underrättelsetjänster. Smith berättade för en publik vid världens största säkerhetskonferens på tisdag att internationell diplomati behövs för att mildra de negativa effekterna på privata företag och medborgare.

Smiths föreslagna krav

  • 1. Ingen inriktning på teknikföretag, privat sektor eller kritisk infrastruktur.

  • 2. Hjälpa den privata sektorns ansträngningar att upptäcka, innehålla, svara på och återhämta sig från händelser.

  • 3. Rapportera sårbarheter till leverantörer i stället för att lagra, sälja eller utnyttja dem.

  • 4. Utöva återhållsamhet när du utvecklar cybervapen och se till att alla utvecklade är begränsade, exakta och inte återanvändbara.

  • 5. Engagera icke-spridningsaktiviteter för cybervapen.

  • 6. Begränsa offensiva operationer för att undvika en masshändelse.

Nationsstatshackning har utvecklats till attacker på civila i fredstid, sa Smith vid RSA-konferensen i San Francisco, vilket återspeglar språket i Genèvekonventionen. Vi måste uppmana världens regeringar att gå samman [såsom] de kom samman 1949 i Schweiz. Smith, som också är Microsofts chefsjurist, har nyligen lobbat för juridiska reformer för att uppdatera integritets- och säkerhetsskydd för Internet-eran (se 'Microsofts främsta advokat blir en medborgarrättskampanj').



Smith listade sex krav som ett sådant avtal kan ställa på länder, till exempel att inte rikta in sig på privata företag eller kritisk infrastruktur med digitala kampanjer.

Han sa att attacken 2014 som förlamade Sony Pictures – en attack som USA skyllde på Nordkorea – var ett exempel på den typ av händelse som visar behovet av internationell överenskommelse om hacking. Nordkorea tros ha riktat sig mot Sony på grund av sitt missnöje med filmen Intervjun , som satiriserade dess ledare, Kim Jong-Un.

Smith citerade ett avtal från 2015 undertecknat av Kina och USA som lovade att inte bedriva eller uppmuntra företags cyberspionage som bevis på att internationell diplomati kan tygla vad som händer i cyberrymden. Säkerhetsexperter och den amerikanska regeringen hade i flera år klagat på att Kinas militär hjälpte till att stjäla företagshemligheter. Kina har alltid förnekat sådana påståenden, men amerikanska tjänstemän och säkerhetsföretag säger att förekomsten av attacker från landet har minskat (även om vissa experter fortfarande är skeptiska till orsaken). G20 skrev senare på en liknande kompakt.



Smiths åsikter om vikten av diplomati för att ta itu med vad som ofta ses som ett tekniskt problem upprepades på tisdagen av Michael McCaul, ordförande för House Homeland Security Committee.

Länder skulle alltid skilja sig åt i sina attityder när det gäller integritet och säkerhet, men samordning är nödvändig för att förhindra cyberattacker som orsakar allvarlig skada, sade McCaul, också på RSA. USA borde samarbeta med utländska partners, sa han. Vi måste utveckla tydliga färdregler när det gäller cyberkrigföring.

McCaul nämnde bevis på att Ryssland hade använt hackerangrepp för att försöka påverka det amerikanska presidentvalet som ett exempel på konsekvenserna av lös politik på cyberattacker. Ryskstödda hackare har också anklagats för att ta ner elnäten i Ukraina förra året.



Mikko Hypponen , berättade säkerhetschef för F-Secure och som har hjälpt till att kartlägga ökningen av statlig skadlig programvara MIT Technology Review att idén om något som en digital Genèvekonvention är rimlig. Men trots att avtalet mellan USA och Kina bedömdes som en framgång, är han skeptisk till att något liknande kommer att komma när som helst snart.

Hypponen rekommenderar att se till en annan period i historien som en modell för hur de närmaste åren av cyberkrigstiden kommer att utspela sig. Denna kapprustning är i början, säger han, eftersom nationer fortfarande känner att de har mycket att vinna över konkurrenterna genom att aggressivt utöka digitalt spionage och attackkapacitet. Jag tror att vi kommer att komma till nedrustning och kontroll i slutändan som vi gjorde med kärnvapen, men det kommer att ta ett tag.

Dölj