美国政府修订网络安全出口禁令

2021年10月21日,美国商务部颁布了一项网络安全出口管制规定,禁止未经许可向中国和俄罗斯出口或转售黑客工具。

这项规定在颁布后90天生效,要求美国科技公司除非获得商务部工业与安全局(BIS)许可,否则不得向中国、俄罗斯及其他重点针对国家出售任何黑客软件及设备。美国商务部声称此举为了令对手更难利用相关网络工具去破坏人权、中断通信等,同时仍为网络安全公司保留一定的工具流通空间。

近日,随着“对海外黑客带来的安全风险的担忧日益加剧”,美国商务部工业与安全局(BIS)发布了对该网络安全出口管控规定的修订。

管控范围:能够破坏、瘫痪或降级网络或设备的技术

BIS在公告中指出:“BIS正在完成许可证例外(ACE)以及出口管理条例(EAR)定义部分的相应更改。可用于监视、间谍活动或其他破坏、瘫痪或降级网络或设备的项目需要进行管控”。修订后的最终版本将在《联邦公报》上发布,自5月26日起生效。

这意味着,最终的出口管制规定可能涵盖间谍软件,例如由以色列公司NSO Group开发的飞马间谍软件(Pegasus),该软件被一些政府用于监视记者、活动家、政治家和企业高管。

去年10月发布的草案考虑到了美国网络安全行业的诉求,在授权网络安全出口(ACE)中引入了新的许可例外,允许将“网络安全项目”出口、再出口和国内转移到大多数目的地。

新版本总体继承了去年草案的许可例外条款,同意只有向对美国国家安全造成威胁或持有大规模杀伤性武器,以及遭受美国武器禁运的国家出口才需要许可证。

值得注意的是,新版本为密码分析项目、网络渗透工具、自动化网络漏洞分析和响应工具(740.17:加密商品、软件和技术,ENC)专门制订了最终使用限制规定,防止这些技术被打包到符合例外条款的“网络安全项目”中绕过管控。

此外,修订后版本还包括澄清和明确了对“政府最终用户”的定义(添加了符合此定义的最终用户的详细说明性列表),以及更正了BIS声称的“无意中”扩大了例外范围的模糊措辞。

美国网络安全行业强烈反对

此前,美国网络安全行业曾强烈反对该出口禁令,担心其管控的工具和技术范围太广,所涉及的繁文缛节会妨碍白帽黑客和漏洞赏金猎人的工作,对进攻性安全软件开发的限制也将阻碍国际网络安全研究。

Bugcrowd创始人兼首席技术官凯西艾利斯表示:“该出口管控规则旨在成为一个框架,用于了解和阻止向某些国家政府输出网络安全能力——主要是漏洞利用,但也可能是TTP、IOC等情报服务”。

“物理武器的出口管制已经够难了——加密出口管制已经说明了对网络安全领域实施出口监管是一件极为困难的事,在美国实施涵盖网络安全领域的《瓦森纳协定》面临同样的情况。”

合规困难

很多美国网络安全业界人士也对出口管控的合规表示担忧,许多草案的评论者认为该规定存在合规困难,规定中的一些范围和定义比较模糊,例如不清楚网络安全事件检测和监控软件是否在受控范围。此外还有很多评论者对合规成本颇多微词。

BIS通过定期发布常见问题解答来跟业界沟通,并表示将随着时间的推移提供更多合规指导。

“值得肯定的是,(从修订版本来看)BIS已经听取并积极考虑了来自安全、研究和赏金猎人社区的反馈,”艾利斯表示:“业界最关注的是哪些产品技术需要申请许可证,BIS承诺通过问答方式给出常见问题解答,明确谁将需要根据裁决获得许可,以及谁被排除在外。”

参考链接:

https://www.federalregister.gov/documents/2022/05/26/2022-11282/information-security-controls-cybersecurity-items

前一篇为人民、靠人民 习近平要求共筑网络安全防线
后一篇超360万MySQL服务器在互联网上暴露