全球网络安全行业都应持续关注《瓦森纳协定》

E安全 / 行业 / 

E安全12月28日讯 《瓦森纳协定》(Wassenaar Arrangement)是一个多边出口控制机制,旨在防止武器跨国扩散。该协定有41个成员国,包括26个欧盟独立成员国(外加英国)。欧盟,本身未参与其中。本月在维也纳召开的《瓦森纳协定》会议上,美国试图重新修订《瓦森纳协议》,修订后网络安全工具出口将更容易。但奥巴马政府未能与其它39个国家就修订安全软件出口控制协议达成一致。

全球网络安全行业都应持续关注《瓦森纳协定》-E安全

2013年,出口限制技术范围被拓宽,其包括基于互联网的监控系统(包括“入侵软件”)。但这个措辞并未适当区分善意用途和恶意用途的入侵软件。尽管近期做了一些变更,但措辞范围仍宽泛,且潜在损害网络安全行业和安全研究界。

协定的目的是限制FinFisher GmbH和HackingTeam这类公司将监控技术提供予专制政府用来打击持不同政见者。这些产品仍能出口,但必须取得有效的出口许可证。然而,《瓦森纳协定》的措辞潜在禁止出口强化网络安全的渗透测试技术。

美国四名国会议员2015年7月向美国工业和安全局(US Bureau of Industry and Security)写到:“我们发现实施这类技术的出口规则中存在两大显著挑战。第三方往往将漏洞披露给专门为此而创建的匿名电子邮箱。因此,安全研究人员无法了解谁会看到这些漏洞。要求严格的监管链,确保研究人员不会通过与开发人员聘用的外国公民共享而无意“出口”漏洞轻易破坏整个报告生态系统…并且,企业可能无法与国际分支机构共享威胁数据,至少无法及时共享。

第二个问题对全球性组织或企业尤为重要。例如,Rapid7公共政策总监哈雷·盖革警告称,《瓦森纳协定》“宽泛的措辞可能会使安全研究人员和企业必须取得出口许可证,以跨境共享漏洞代码。共享这类信息目前是识别并缓解安全漏洞的相对常规做法。”

他透露,这甚至可能意味着“跨国组织或企业可能需要取得出口许可证,以在全球不同国家的子公司之间传输渗透软件。

该协定中的措辞尤其对美国影响最大,因为美国在全球有大量技术公司。去年,一名美国代表一直希望修改协定的措辞,例如,允许研究人员之间“合法”跨国传输漏洞利用代码,以及在组织内部传输渗透测试代码。

修订《瓦森纳协定》须41个成员国一致同意,而其中过半的成员国为欧盟成员国。12月召开的这次会议同意对一些细微的措辞进行修改,但不同意美国提出的修订请求。这样一来,《瓦森纳协定》对合法安全研究的影响担忧仍存在。

美国国会议员近日发表声明表示,“《瓦森纳协定》成员国拒绝对入侵软件的出口控制规则做出修订,我深感失望,尤其某些控制涉及成员国发展的必需技术。”

Lutasecurity的首席执行官兼美国代表团的行业顾问穆索瑞斯通过推特表示,“今年的《瓦森纳协定》会议结果令人遗憾。希望下一届政府支持我们继续努力。”

美国想放宽网络武器出口协议,但是失败了! - E安全

一些人指出,是欧盟导致修订失败。穆索瑞斯推特称,“如何用一句话描述导致《瓦森纳协定》修订失败的原因,它可能是EC No. 428/2009。” 428/2009法规是欧盟的“双用途”机制。

7月,泄露的草案提议显示,欧洲委员会(European Commission)已经开始更新428/2009。然而,早期的设想认为,428/2009法规将会澄清入侵软件的合法用途。

F-Secure公司网络安全顾问Erka Koivunen透露,“这类双用途法规的潜在意外后果是,安全研究人员将会因担心违反规则不能协作、共享信息或发布结果。该阶段尚不清楚这种担忧是否毫无根据,但我认为,作为企业,我们会谨慎遵循该法规。

目前,看起来是欧盟有意维持现有规则,而非与解决措辞问题。这可能与动机有关。欧盟这样做的主要驱动力为政治,而美国修订规则的驱动力是经济。

然而,虽然企业和安全研究人员也许会对有限的措辞修改失望,但事情肯定不会如此糟糕。

穆索瑞斯表示,“我们不必为此感到惊慌。虽然失望,但我们已经知道明年需为此更加努力。唯一的问题在于下一届特朗普政府是否会支持我们继续。两党国会网络安全核心会议(Congressional Cybersecurity Caucus)支持并建议我们明年继续再商议。因此,希望此建议能引起重视。”

相关阅读:美国想放宽网络武器出口 39个国家不同意

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。