– Si «nei» til kybervåpen


EMCs sikkerhetsselskap RSA, opphavet til mye av krypteringsteknologien i daglig bruk verden over, holder i disse dager en samling i San Francisco, RSA Conference USA 2014, med 25 000 deltakere, 550 innledere, 400 sponsorer og utstillere, og et stort antall pressefolk. Arrangementet har en sentral plass i det globale IT-sikkerhetsmiljøet.

RSAs arbeidende styreleder («executive chairman») Art Coviello brukte sin hovedinnledning (pdf, 15 sider) til en appell alle verdens nasjoner om å holde seg til fire prinsipper for omgang i den digitale verden:

  1. Avstå fra å bruke kybervåpen og fra å gjøre Internett til slagmark.
  2. Samarbeid globalt om å etterforske, pågripe og straffeforfølge kyberkriminelle.
  3. Forsvar den frie forretningsvirksomheten på Internett og sørg for respekt for åndsverk og opphavsrett.
  4. Forsvar og respekter alle individers personvern.

Hadde Coviello vært norsk, ville han helt sikkert trukket en parallell til Magnus Lagabøte: Med lov skal Nettet bygges.

Appellen om å avstå fra å bruke kybervåpen strider, som kjent, mot synspunktene til det offisielle USA.

Noen vil oppfatte at RSA her sitter i glasshus. To ganger de siste årene har RSAs forhold til det offisielle USA skiftet karakter.

Fram til slutten av 1990-tallet kjempet selskapet mot den strenge eksportkontrollen som de ble underlagt, fordi krypteringsteknologi ble klassifisert som våpen. RSA var en høyrøstet kritiker av kreftene bak denne ordningen, særlig etterretningstjenesten NSA.

Eksportkontrollen ble opphevet i 1999. Året etter gikk RSAs patenter gikk ut på dato, og kryptering ble gjenstand for åpne standarder. NSA engasjerte seg i utviklingen av krypteringsstandarder. RSA gikk fra å være kritiker til partner, og støttet NSA i arbeidet for å gjøre Dual_EC_DRBG, en generator av psevdotilfeldige tall, til standard anerkjent av den amerikanske standardiseringsorganisasjonen NIST. Det er siden kommet fram berettiget mistanke om at denne standarden har en bakdør til NSA. I september i fjor advarte NIST mot å bruke standarden. I desember i fjor ble det stilt spørsmål ved om RSA hadde mottatt ti millioner dollar fra NSA for å støtte opp om Dual_EC_DRBG.

I hovedinnlegget nevnte ikke Coviello korrupsjonsanklagen direkte.

Men han pekte på at RSA erstattet Dual_EC_DRBG med andre tallgeneratorer i sine produkter straks NIST kom med sin advarsel. Og han kom med hard kritikk mot NSA for å forkludre skillet mellom tjenestens defensive og offensive roller. Han sluttet seg til anbefalingen til utvalget som president Barack Obama opprettet i fjor høst om å stramme inn amerikanske spiontjenester, blant annet ved å innføre et skarpere skille mellom det defensive, det vil si forsvaret mot kybertrusler, og det offensive, det vil si overvåkning og avlytting.

Coviello understreket at dette rådet ikke bare gjelder USA, det gjelder alle land.

– All etterretning verden over må legge opp en styringsmodell der de gjør mer for å forsvare oss og mindre for å fornærme oss, sa han.

Slik Coviello ser det, er det kyberrommets framtid som står på spill. Verdenssamfunnet mangler normer for opptreden i kyberrom: Uten slike normer går det mot kaos og deretter ruin. Normer er nødvendig for å gjøre forretninger i kyberrom, og for at kyberrom skal oppfattes som trygt å kommunisere i. Stordata («big data») og tingenes Internett er løfterike, men uten normer leder de til «en ødeleggende kraft på høyde alt vi har opplevet siden innledningen på atomalderen».

Derfor må vi «vise samme avsky overfor kyberkrig som overfor kjernefysisk og kjemisk krig».

Derfor må vi sørge for at dagens situasjon, der «kriminelle er de eneste som tjener på at stater prøver å bruke Internett til å styrke seg på andres bekostning», må opphøre.

Derfor må dagens anarki erstattes av normer, lov og orden, slik at framgangen utløst av digitaliseringen kan komme alle til gode.

Og derfor er det påkrevet å håndheve personvernet, gjennom en balanse mellom individuelle rettigheter og felles sikkerhet, regjert etter en rettferdig og åpen modell.

– Mange vil tro at jeg er naiv. Men det finnes presedens. Vi lever i en farlig verden, men avtaler om ikke-spredning av kjernefysiske våpen, forbud mot kjemiske våpen, og forbud mot krig i verdensrommet har gjort den mindre farlig. Hvorfor ikke [gjøre noe tilsvarende] i kyberrom?

Coviello avviser at de fire prinsippene han forslår er en utopisk visjon. Han ser for seg at de kan realiseres, forutsatt at styresmakter legger godvilje til, og forutsatt at IT-bedrifter og andre organisasjoner trer støttende til.

Et grep er å tilby fora der tillit kan bygges ved å utveksle erfaringer og synspunkter.

– Denne RSA-konferansen samler kybertsarene til 12 land for å diskutere sikkerhet og personvern, sa Coviello.

Han ber hele IT-bransjen vise sin oppslutning om prinsippene han foreslår gjennom tilsvarende tiltak.

Han ber om oppslutning rundt det han kaller «innsiktsdrevet sikkerhetsmodell» («intelligence-driven security model»), med løsninger som automatisk avdekker og sperrer for misbruk av nulldagstrusler. Han ber om at en tilsvarende innsikts-basert tilnærming til identitetsløsninger. Han ber om at IT-sikkerhetsbransjen konsentrerer seg om de defensive tiltakene som verner om forretninger, kommunikasjon og tillit, og motvirker tiltak og løsninger som kan føre til at nettet rives i filler.

– Ingen av oss kan få til dette på egen hånd. Privat og offentlig sektor må gå sammen om å skape den digitale verden slik vi vil ha den. Derfor ber jeg alle dere og alle verdens nasjoner arbeide som til menneskehetens felles beste.

Et spørsmål til slutt til dere som leser dette: Burde de fire prinsippene som Coviello foreslår, gjøres til offisiell norsk IT-politikk?

Leave a Reply

Your email address will not be published.