Paneldrag för nationell dialog om cyberattacker

USA måste engagera sig i en nationell dialog om regeringens användning av cyberattack mot andra nationer, och regeringen saknar en omfattande politik om hur och när det kommer att engagera sig i cyberwarfare. En amerikansk regering saknar också en person eller kontor för att samordna cyberattack, och agenturer som gör attacker bör regelbundet sammanfatta USA: s kongress om deras ansträngningar, säger rapporten från en panel av militära, diplomatiska, juridiska och IT-säkerhetsexperter som samlats av National Research Council, en ideell organisation som tillhandahåller Politisk rådgivning till den amerikanska regeringen.

Den amerikanska regeringens nuvarande politiska och rättsliga ramar om användningen av cyberattack är "dåligt informerad, outvecklad och mycket osäker", säger rapporten. Den amerikanska regeringen har ingen omfattande politik för hur man ska svara på cyberattacker eller hur det kommer att använda cyberattacker, säger rapporten, släpptes onsdagen.

[Läs mer: Så här tar du bort skadlig kod från din Windows-dator]

Den amerikanska militären är utvecklar cyberwarfare-funktioner och kan ha använt dem, och amerikanska underrättelsebyråer har också möjlighet att tränga in i datornätverk, säger Kenneth Dam, en tidigare jurist som tidigare har haft ledande befattningar i de amerikanska avdelningarna för statskassan och staten. Men de här egenskaperna har utvecklats i stor utsträckning utan offentlig diskussion om när cyberattack är lämpliga, sade han.

Sekretessen kring amerikanska cyberattackfunktioner har hindrat debatten om de rättsliga och etiska problemen i samband med cyberattack och konsekvenserna av sådana attacker, sade Dam.

I många fall kommer en cyberattack att ha en mycket större effekt än en förstörd dator eller ett nätverk, tillade William Owens, en pensionär marin admiral och tidigare VD för Nortel Networks. En attack på vissa datorer kan leda till att elnätet stängs av eller en pipeline för att sluta fungera, vilket orsakar utbredda problem i det riktade landet, säger han.

"När du attackerar en dator, attackerar den inte bara en dator, det är självklart attackera allt som datorn serverar ", sade Owens.

Företrädare för US Air Force och USA: s direktör för National Intelligence, två organisationer som deltog i cyberattack och försvar, svarade inte omedelbart på en begäran om kommentar till rapporten.

Den amerikanska regeringen verkar inte ha en policy om när den kommer att använda cyberattack och vilket svar det kommer att ta när ett annat land attackerar sina datanätverk, sade Owens. Det är därför som den offentliga debatten är nödvändig, tillade han.

Billiga verktyg för att attackera datanät är lättillgängliga och det är troligt att den amerikanska regeringen fortsätter att möta allvarliga cyberattack bra in i framtiden, tillade Owens. "Den uthålliga ensidiga dominansen av cyberspace är inte realistisk eller uppnåelig av Förenta staterna", sa han.

Rapporten skiljer mellan cyberattack och cyberexploitation. Det definierar cyberattack som ansträngningar som syftar till att skada eller förlamna datorer och nätverk, medan cyberxploitation är en smidig ansträngning som syftar till att äventyra information som hålls på datorer. Rapporten fokuserar i stor utsträckning på cyberattack.

Under de senaste åren har många medier rapporterat på cyberattack som kommer från Kina eller Ryssland. Tidigare i månaden förnekade Kina rapporter om att den har installerat skadlig kod på det amerikanska elnätet för att stänga av det.

Rapporten från nationella forskningsrådet pekar inte på fingrarna i specifika länder, men det kräver att den amerikanska regeringen har en uttalad policy om hur det kommer att reagera på attacker. Det är emellertid ofta svårt att identifiera var attacker kommer från eller om en utländsk regering var involverad, sade Dam.

Nya attacker som tillskrivs Kina och Ryssland tycks komma från högskolestudenter som bär "tofflor och pyjamas", inte från utländska militärer, sade John Jiang, CTO hos Xana, en leverantör av cybersäkerhet i Reston, Virginia. Det skulle vara svårt för USA att motverka i dessa fall, sade Jiang, som var i publiken för att tillkännage rapporten.

Dam överenskomna, men sade att det är lätt för nationer att anställa privata "patriotiska hackare" för att utföra cyberattack.

Den amerikanska regeringens offensiva cyberkapacitet kom också upp under en utfrågning före USA: s senat för hemlands säkerhet och regeringsfrågor tisdagen. Senator Roland Burris, en Illinois-demokrater, frågade en panel av cybersäkerhetsexperter om USA hade förmågan att reagera på cyberattack med egna attacker. "Det verkar troligen som om vi är defensiva i allt detta," Burris sa. "Är vi i det här landet gör någonting för brottet?"

Den amerikanska regeringen har betydande offensiva möjligheter, men är också ett viktigt mål, säger James Lewis, chef för teknik och offentligt policyprogram vid Center for Strategic and International Studier, Washington, DC, tankesmedja.

"Vi har offensiva möjligheter som är bland de bästa i världen", säger Lewis. "Problemet är vad jag skulle kalla asymmetrisk sårbarhet. Vi är en målrik miljö. Så även om vi är lika bra som våra motståndare, har de fler saker att skjuta på."