Awal bulan ini, 21 pemerintah menandatangani perjanjian proses Pall Mall sukarela untuk mengatasi proliferasi spyware komersial, menandai upaya terbaru untuk mengganggu penggunaan dan memaksakan peraturan yang lebih ketat untuk spyware komersial. Tapi masih terlalu dini untuk mengetahui apa efek pakta itu.
Prancis dan Inggris menjadi tuan rumah konferensi kedua untuk Inisiatif Internasionalyang diluncurkan pada bulan Februari. Bangsa -negara menandatangani Kode Praktik untuk Negara, yang menguraikan komitmen dan rekomendasi kebijakan di sekitar empat pilar utama: akuntabilitas, akurasi, pengawasan, dan transparansi
Penyalahgunaan spyware komersial adalah ancaman yang berkelanjutan. Pemerintah telah memperluas penggunaan spyware komersial di luar penjahat dan teroris untuk menargetkan aktivis hak asasi manusia, jurnalis, dan tokoh politik lainnya. Sebagai contoh, Pegasus Spyware NSO Group terkait dengan pembunuhan Jurnalis Saudi Jamal Khashoggi 2018, yang diduga oleh pemerintah Saudi. Vendor juga berkontribusi pada masalah dengan mengklaim ketidaktahuan, dan beberapa Terus -menerus beradaptasi taktik untuk memungkinkan proliferasi penggunaan spyware.
Masalah penegakan hukum
Proses Pall Mall mewakili dialog dan komitmen di antara negara-negara untuk mengganggu pasar Cyber Intrusion Capability (CCICS) komersial, tetapi itu berarti penegakan hukum tidak mengikat dan bergantung pada para peserta.
Meskipun inisiatif ini sepenuhnya sukarela, ini memang membantu mendefinisikan masalah dan membuat negara -negara di halaman yang sama tentang praktik terbaik. Misalnya, penggunaan spyware komersial yang sah harus diperiksa sebelum disetujui dan lisensi dipantau, kata Wakil Presiden Dispersif Lawrence Pingree.
“Sayangnya, tanpa lebih banyak gigi [i.e., some actual law or mandate]sebagian besar hanya bimbingan yang bagus, “kata Pingree.
Inisiatif global berupaya membuat kerangka kerja, tetapi tidak lengkap, kata Evan Dornbush, mantan operator jaringan untuk NSA, yang menghadiri dan berpartisipasi dalam proses Pall Mall.
“Tantangannya di sini adalah bahwa CCIC – istilah yang meliputi spyware – meskipun legal untuk dibuat dan legal untuk dijual mungkin memerlukan otorisasi tertentu untuk digunakan yang tidak pernah distandarisasi,” kata Dornbush. “Misalnya, apa yang terjadi jika pemerintah bertindak secara ilegal? Apa yang terjadi jika pengguna pemerintah kehilangan teknologi dan akhirnya menyebabkan kerusakan pada warga negara pemerintah?”
Masih ada pertanyaan
Kekhawatiran implementasi lainnya adalah bahwa proses Pall Mall tidak didukung oleh mereka yang melakukan spyware, spionase dunia maya, kejahatan dunia maya, atau kegiatan serupa lainnya. Selain itu, para pelaku komersial sering berlokasi di negara -negara di luar hukum internasional atau penegakan peraturan, kata Tony Anscombe, kepala penginjil keamanan di ESET.
“Ketika 21 negara mengelompokkan bersama dan menyetujui serangkaian prinsip yang dapat memengaruhi mereka yang melakukan kegiatan seperti itu, Anda kemungkinan hanya memiliki satu sisi di dalam ruangan,” kata Anscombe. “Misalnya, ini seperti konseling pernikahan dengan hanya satu pihak yang mengambil bagian.”
Fase proses selanjutnya akan memperbaiki kode praktik – dan berpotensi negara lain akan mendaftar – tetapi masih banyak pertanyaan. Misalnya, bagaimana seorang vendor dapat mengetahui apa yang dilakukan pelanggannya dengan spyware? Selain itu, undang -undang di antara negara -negara berbeda, yang membuatnya sulit untuk mendefinisikan perilaku yang bertanggung jawab secara universal.
“Fase berikutnya akan membahas kriteria industri, yang dapat membentuk untuk menciptakan pasar paralel dan bercabang dua,” kata Dornbush. “Jika ada pemain industri yang mematuhi kriteria, itu dapat dijual ke negara -negara proses mal. Jika tidak, itu tidak bisa. Bisnis harus menentukan seberapa berharga pasar Proses Pall Mall.”
Meskipun AS terlibat dalam proses tersebut, ia tidak bergabung dengan negara -negara lain dalam menandatangani pada 3 dan 4 April. Tetapi itu bisa berubah, menurut Departemen Luar Negeri, yang mengatakan AS bermaksud untuk bergabung dengan panggilan untuk mendukung kode praktik proses Pall Mall.
Perburuan Zero-Day
Tahun lalu, Grup Analisis Ancaman Google menerbitkan laporan yang menyoroti peran Vendor Surveillance Komersial (CSV) dalam eksploitasi nol-hari. Google Dikaitkan setengah dari eksploitasi zero-day yang diketahui Digunakan melawan produknya untuk CSV. Selanjutnya, vendor menyerukan lebih banyak tindakan pemerintah.
“Tujuan dari proses Pall Mall adalah untuk menyelaraskan dengan upaya kami untuk menggagalkan vendor spyware untuk melindungi pengguna online,” kata juru bicara Google. “Fokusnya pada transparansi adalah kunci untuk mengekspos operasi para aktor ini, meminta pertanggungjawaban mereka dan membatasi penggunaan alat yang sering digunakan untuk menargetkan pengguna berisiko tinggi, seperti pembangkang politik, aktivis hak asasi manusia, jurnalis, dan akademisi.”
Peneliti kerentanan yang menemukan atau mengembangkan dan kemudian menjual eksploitasi nol-hari juga merupakan bagian dari pasar. Namun, para peneliti tersebut memiliki siklus kerja tujuh tahun yang dapat diprediksi sebelum sukses mulai meruncing. Ini bisa menghadirkan masalah tentang penggunaan hukum Spyware.
Jumlah keseluruhan individu yang mampu menemukan kerentanan yang sulit ditemukan ini telah konsisten. Para peneliti sedang berjalan masuk, sementara peneliti lain merobohkan pada saat yang sama, kata Katie Moussouris, pendiri dan CEO Luta Security, yang telah terlibat dalam penyusunan dan berbicara di acara proses Pall Mall.
“Akan selalu menjadi permainan karena harus menemukan orang-orang yang berada di suatu tempat dalam periode tujuh tahun berada di puncak permainan mereka, dan Anda terus-menerus akan menemukan orang-orang baru yang memiliki bakat ini dan mampu menemukan hal-hal ini,” kata Moussouris. “Dalam hal menggunakan perangkat lunak ini, dalam arti hukum, ini digunakan untuk melawan teroris. Ini digunakan untuk orang -orang yang lalu lintas manusia. Ada kegunaan yang baik. Kita semua harus benar -benar khawatir tentang fakta bahwa ada persediaan manusia yang terbatas yang dapat menyediakan ini.”
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")