Hack Back Bill

Active Cyber Defense Certainty Act (ACDC), også kjent som «Hack Back»-loven, ble først introdusert i Representantenes hus i USA i 2017. Lovforslaget har blitt jobbet med siden den gang, og hvis det blir vedtatt, vil det endre Computer Fraud and Abuse Act. Det foreslåtte lovforslaget vil gi beskyttelse til selskaper som er ofre for svindel hvis de utfører mer aggressive responsaktiviteter i en hendelse sammenlignet med den tradisjonelle «oppdag og rapporter»-strategien som i stor grad brukes i dag.

Hvilke typer hackingback diskuteres i dette lovforslaget?

Det er tre aktiviteter beskrevet i dette lovforslaget som definerer hva et selskap kan og bør gjøre når det blir angrepet. Disse er spesifikt, 

1. Å fastslå hvorfor kriminell aktivitet er forårsaket, som deretter vil bli delt med politi og andre relevante myndigheter;
2. Å forstyrre fortsatt uautorisert aktivitet mot forsvarerens nettverk; og
3. Å overvåke en angripers oppførsel for å bistå i utviklingen av fremtidige inntrengingsforebyggings- eller cyberforsvarsteknikker.

Hvilke handlinger er forbudt i det foreslåtte ACDC-lovforslaget?

Det er mange forbudte handlinger beskrevet i ACDC, inkludert:

1. ødelegge andres data;
2. forårsaker fysiske eller økonomiske tap;
3. skaper trusler mot folkehelsen; og
4. utføre unødvendig rekognosering på hackingsystemet, da det kanskje ikke tilhører hackeren, men er en mellommann, og mer.

Utfordringer med lovgivning om hackingback

Det største problemet med dette lovforslaget fra CyberHoots perspektiv er vanskeligheten med å tilskrive et angrep til en enkelt enhet, hackergruppe eller nasjonalstat.  Falske flagg florerer i hackingverdenen som fører til navngivelse feil. Potensialet for skadelig eskalering av cyberangrep gjennom ufullkomne attribusjoner er enda større på nett enn i den fysiske verden. Denne lovgivningen vil garantert bli debattert langt inn i fremtiden uten en klar løsning.

Hva betyr dette for bedrifter?

Bedrifter bør rett og slett være klar over dette lovforslaget og hvilke implikasjoner det kan ha. Det er usannsynlig at det blir vedtatt, så det er ikke mye forberedelse du kan ta på det. Det beste rådet en bedrift kan ta er å ha riktige retningslinjer, programmer, opplæring og verktøy på plass for å sikre og beskytte dataene dine. Det er et betydelig potensial for at bedrifter «skyter seg selv i foten» ved å utilsiktet overskride sine juridiske grenser når de hacker tilbake. Å overskride dine juridiske rettigheter i dette tilfellet kan føre til anklager om svindel, søksmål og kostbare rettssaker.

CyberHoots syn på denne lovgivningen:

Gitt at denne lovgivningen har blitt debattert i mange år nå, og argumentene for og imot den er mange og overbevisende, er det usannsynlig at den blir vedtatt med det første. 

For mer informasjon, se Tom Graves (R-GA) diskutere lovforslaget han fremmet:

Gjør du nok for å beskytte bedriften din?

Registrer deg hos CyberHoot i dag og sov bedre når du vet at du

ansatte er cybertrente og på vakt!

Registrer deg i dag!