211service.com
Rysslands cybersäkerhetsplaner
På Capitol Hill på torsdagen sa chefen för National Security Agency, generallöjtnant Keith Alexander att hotet mot amerikanska datornätverk växer, med hundratusentals sonder dagligen. Alexander, som är tänkt att leda ett nytt cyberkommando för att hantera detta, karakteriserade som okänt territorium utsikterna för USA att lansera cyberbaserade vedergällning mot framtida dataangrepp.
Dagen innan hade jag en chans att intervjua en ledande rysk cybersäkerhetstjänsteman för hans perspektiv. Jag frågade Vladislav Sherstuyuk, en pensionerad general som leder Institutet för informationssäkerhetsfrågor vid Moscow State University och sitter i nationens nationella säkerhetsråd, om Ryssland utvecklade offensiva cybervapen. Genom en översättare gav han mig detta svar: Det är inte bara Ryssland. Det är bara 2000-talet. Det är på grund av den höga tekniken. Vi uppfann inte internet. Det var inte Ryssland som uppfann Internet. Utan internet skulle det inte finnas några cybervapen, cyberattacker.
En rapport i slutet av förra året från datorsäkerhetsföretaget McAfee – en rapport baserad på intervjuer med tredjepartsexperter – sa att Ryssland, USA, Kina, Frankrike och Israel alla utvecklade kapaciteten att attackera och lamslå datornätverk inklusive de som driva kritisk infrastruktur som elnät.
Sherstuyuk var värd för en cybersäkerhet konferens denna vecka i Garmisch-Partenkirchen, Tyskland, som representerade hans lands ansträngningar att sätta reglerna för engagemang. Mötet var anmärkningsvärt eftersom det var det första sådana rysksponsrade evenemanget där tjänstemän från Vita huset och utrikesdepartementet deltog. Ryssland vill skapa ett slags avtal om cybervapenkontroll, men USA är främst intresserade av att skapa formella avtal för att bekämpa cyberbrottslighet.
Sherstuyuk förklarade sin position för mig. Idag pratar vi om informationsvapen, om cybervapen, och det finns mycket gemensamt mellan kärnvapen och cybervapen, eftersom cybervapen kan påverka en enorm mängd människor såväl som kärnvapen, sa han. Men det är en stor skillnad mellan dem. Cybervapen är väldigt billiga, nästan gratis.
Även när sådana vapen utvecklas, försöker nationer alltmer att samarbeta för att bekämpa brottslighet och avvärja sådana attacker. Därav scenen på onsdagskvällen på Hotel Nessen i Partenkirchen, där tallrikar med fläsk och skinka och snapsar – sponsrade av det ryska inrikesministeriet – skickades runt till de 140 deltagarna inklusive forskare eller regeringstjänstemän från Indien, Kina, Israel och andra nationer, förutom USA.
Men olika nationer kommer på problemet från olika perspektiv. Vita huset har satt cyberbrottslighet som högsta prioritet. Vita husets seniorchef för cybersäkerhet, Christopher Painter, gick till konferensen för att berätta för de ryska värdarna på tisdagen att det dominerande hotet vi står inför är det kriminella hotet – hotet om cyberbrott i alla dess olika aspekter. Bankbedrägerier online och andra liknande brott som har varit extremt kostsamma för amerikanska företag. (Ryssland är en viktig källa till sådan brottslighet, men landet har avböjt att underteckna en konvention om brottssamarbete och protesterar mot en bestämmelse som skulle tillåta brottsbekämpande myndigheter att få tillgång till dess nätverk.)
Ryssland har andra prioriteringar. Sherstuyk berättade för mig att Ryssland i sig är mer bekymrat över terroristers användning av Internet för att rekrytera, organisera, planera och utföra konventionella attacker i Ryssland. För bara två veckor sedan detonerade två kvinnliga självmordsbombare inne i Moskvas tunnelbanesystem och dödade 39 människor. Vi har inga exempel på cyberterrorism ännu, sa generalen och syftade på attacker mot datornätverk. Så [frågan] handlar mer om information som du kan få från Internet, information om kommande terrorattacker, så att vi kan titta på flygplatser och järnvägsstationer för att observera om det finns attacker eller inte.
Om det finns ett problem som alla parter är överens om, är det behovet av att bättre kunna avgöra vem som utför attacken – ett problem som kallas tillskrivning. Det kan vara svårt eller omöjligt att avgöra om oseriösa hackare eller ett nationellt försvarsministerium ligger bakom en attack, till exempel de som riktade sig mot Estlands datornätverk 2007. Förbättrad attribution skulle kunna uppnås genom att minska integriteten på nätet, men det skulle också kunna uppnås genom bättre samarbete mellan nationer för att dela befintlig information. Vi vill skapa förtroende och hjälpa till att sätta reglerna inom informationssfären, sa den pensionerade generalen till mig. Och jag slår vad om att det finns många saker som vi kan göra tillsammans.
I skriftliga svar till senatens väpnade kommitté före sitt vittnesmål på torsdagen sa Alexander att det är rimligt att anta att det är lagligt att återvända eld i cyberrymden. Hans skriftliga svar postades av Washington Post här .
Vid tisdagsmiddagen bjöds det på olika skålar, men ingen lustigare än den som gjordes av en rysk deltagare som hedrade Sherstuyuk själv. Hurra, Sherstuyuk! han grät. Painter, som är en veteran federal databrottsåklagare, gjorde sitt bästa för att bidra till munterheten. Ombedd att göra en skål, bjöd han på några bevakade kommentarer. Sedan berättade han lekfullt ett skämt om en hackare som fick tre önskningar från en ande, under förutsättning att andra hackare skulle få dubbelt så mycket som han hade önskat. Den första önskan var en miljon kreditkortsnummer. Den andra var för en superdator att bryta kryptografiska nycklar. Den tredje var att han kunde donera en av sina njurar.