评论时间对一套建议的软件出口限制专家们说,这些规定将于下周一结束,成文的规定将严格限制网络安全工具的国际销售、部署、研究,甚至是对网络安全工具和漏洞的讨论。
电子前沿基金会、赛门铁克和许多其他组织都担心新法规对使用或提供服务的公司的影响渗透测试或网络监控工具,以及一般的安全研究。
“我们认为这是一个糟糕的想法,”电子前沿基金会(Electronic Frontier Foundation)执行董事辛迪•科恩(Cindy Cohn)表示。“他们会听到我们的声音,也会听到很多其他人的声音。”
她说,这些规则还可能损害美国的经济。
“人们希望保护他们的商业秘密、通讯和资产,”她说。“如果美国公司不能率先提供这种安全,他们就会在市场上输掉。”
SANS Institute新兴趋势主管佩斯卡托雷(John Pescatore)说,美国已经经历了有关强加密的同样讨论。
“零日缺陷和渗透测试工具也是如此,”他说。“出口管制将使美国安全供应商更难在全球网络安全市场上竞争,而且对那些在美国以外发现和销售漏洞的企业没有任何影响。”
以赛门铁克为例。赛门铁克负责全球政府事务和网络安全政策的副总裁Cheri McGuire说,新的规定可能意味着仅赛门铁克就有数千个新的许可证申请。
她说,与此同时,技术几乎每天都在变化,威胁必须实时解决。“赛门铁克的业务充满活力,技术上也颇具挑战性。”
艾伦•科恩表示,网络安全华盛顿办公室的律师Steptoe & Johnson LLP的行业和安全——美国商务部负责的这些控件,报道称,平均26天来处理出口许可证的请求。
他说:“考虑到拟议规则可能涵盖大量的网络安全工具和产品,这一规则可能会导致等待时间变得更长。”
在向客户提供安全工具方面的任何延误都可能带来问题。
“网络安全威胁的时间在几分钟或几小时内,”库利律师事务所(Cooley LLP)华盛顿办公室专攻出口法规的律师凯文·金(Kevin King)说。
Blancco Technology Group的首席执行官帕特·克劳森(Pat Clawson)说,客户通常在经历了严重的安全恐慌之后才决定购买安全工具。
他说:“你可以打赌,他们不会想要等待一个出口许可证来获得恶意软件。”“人们天生缺乏耐心和恐惧——他们会去其他公司寻找能帮助保护他们数据的公司。”
但赛门铁克的McGuire说,即使不是从事软件销售业务的公司也可能受到影响。
Mark Kuhr, Synack联合创始人兼CTO
她举例说,目前要求某些类型加密软件出口许可证的规定排除了内部使用。
“如果没有公司内部的例外,公司将无法有效地研究漏洞和利用,”她说。公司必须有能力迅速有效地将这些漏洞和相关的漏洞、技术和技术细节提供给公司内最有知识的专家。否则这个行业就会瘫痪。”
还有一些跨国公司要么是受政府命令进行渗透测试,要么是出于自身安全考虑。
麦圭尔说,现在这些公司将不得不申请出口许可证。“这项拟议规则的意外后果将意味着更高的风险和更频繁的安全破坏。”
赛门铁克是最近加入一个联盟的公司之一,该联盟主要由安全供应商组成,致力于阻止拟议的法规。
另一个因素是离子安全性。
Ionic创始人兼首席执行官亚当·盖蒂(Adam Ghetti)表示,该条例草案适用于除加拿大以外的所有国家。它们写得如此宽泛,几乎可以应用于任何一种软件,也可以应用于研究、合作,甚至是讨论。
“如果我只是想与客户就我的工具提供的功能进行对话,我就必须获得许可,”他说。
中国、俄罗斯等国际网络威胁
这些规定的核心似乎是为了防止专制政权获得零日利用和监听其公民所有通信的能力。
但它们在今天具有特殊的意义。
“我们知道,我们在保护网络免受中国、俄罗斯和其他国家攻击方面存在问题,”Synack联合创始人兼首席技术官马克•库尔(Mark Kuhr)表示。在此之前,库尔是美国国家安全局的技术总监。
“我同意他们的意图,”他说。但目前制定规则的方式将妨碍网络安全产品的合法使用,损害竞争力,并不能限制黑市。
“它不会让我们的系统更安全,”他说。
提供云商业软件的Intermedia公司的首席技术官乔纳森•莱文(Jonathan Levine)表示,理论上,这些规定可以让起诉坏人变得更容易。
他说:“在四五十年代,打击有组织犯罪最有效的武器往往是起诉逃税。”“让陪审团相信网络罪犯非法输出恶意软件是有罪的,要比让陪审团相信他们利用恶意软件做了什么要容易得多。”
他说,另一方面,网络犯罪分子不仅在海外拥有大量的安全避风港,而且要发现违法行为可能极其困难。
他说:“新规则可能会阻碍打击网络犯罪,而不是减缓恶意软件的传播。”
“说到底,我们都知道,真正恶意的个人或组织肯定不会遵守这些要求,”SecureState顾问安东尼·卡塔拉诺(Anthony Catalano)说。“这样,就把执行、惩罚和运营浪费留给了那些遵守规则的人。”
但是,按照目前的规定,这些规定会对合法经营产生很多不利影响。
他说:“如果我从外国供应商那里购买软件,发现软件有缺陷,我就不能在不违反这些规定的情况下告诉供应商这个缺陷。”
或者假设有一家公司,比如一家银行,为其客户提供杀毒或浏览器安全服务——这些工具可能属于新的出口许可要求,Synack的库尔说。
他说:“杀毒方案必须破坏软件的正常操作,阻止对操作系统的呼叫。”“但它有一个非常仁慈的目的。”
漏洞泛滥的问题也会受到不利影响,安全供应商Veracode的研究副总裁Chris Eng说。
他说:“任何漏洞细节,包括测试漏洞存在所需的概念验证利用代码,都可能受到出口限制。”
这篇文章,“监管机构寻求限制安全软件出口”最初是由方案 。