Hooggerechtshof biedt gerechtigheid voor cyberdreigingsjagers
Opties

De cyberbeveiligingsgemeenschap prijst een recente uitspraak van het Amerikaanse Hooggerechtshof voor het verminderen van de juridische obstakels voor de praktijk van het "threat hunting". "De Van Buren-beslissing is vooral goed nieuws voor beveiligingsonderzoekers, wier werk het ontdekken van beveiligingslekken van vitaal belang is voor het algemeen belang, maar vaak toegang tot computers vereist op manieren die in strijd zijn met de servicevoorwaarden," aldus de Electronic Frontier Foundation (EFF). [1]

Het hof heeft de reikwijdte van de 35 jaar oude Computer Fraud and Abuse Act (CFAA), die dreigingsjagers op het gebied van cyberbeveiliging had doen werken onder de dreiging van mogelijke strafrechtelijke en civielrechtelijke aansprakelijkheid, effectief ingeperkt. "Beveiligingsonderzoekers hebben decennialang in een juridisch grijs gebied geopereerd omdat de wet zoals die is geschreven hun werk blootstelt aan vervolging, zelfs als het doel is om de cyberbeveiliging te verbeteren," aldus een rapport. [2]

De wet versus Cybersecurity bedreiging jagen

De CFAA is gebruikt om honderden hackers van hoog tot laag te vervolgen, en heeft vaak tot controverse geleid, aldus Wired . [3] De bepalingen bestrijken een reeks misdrijven, van computervredebreuk tot beschadiging, fraude en diefstal.

In de zaak voor het Hooggerechtshof ging het om een schijnbaar ongerelateerde zaak over de manier waarop een politieagent omging met wetshandhavingsgegevens. Toch ging het om een grotere vraag, namelijk wat het betekent om de geautoriseerde toegang tot een computersysteem te overschrijden. "De interpretatie van het statuut door de regering zou strafrechtelijke sancties verbinden aan een adembenemende hoeveelheid alledaagse computeractiviteiten," oordeelden de rechters. [4]

Zoals het is toegepast op beveiligingsonderzoekers, heeft deze interpretatie van de CFAA een remmend effect gehad bij elke stap: "van het uitvoeren van beveiligingsonderzoek in de eerste plaats, tot het openbaar maken van beveiligingslekken die zij ontdekken, tot het openbaar maken van beveiligingslekken wanneer bedrijven weigeren deze te patchen," vertelde de EFF aan het Hooggerechtshof. "Het resultaat van dit perverse systeem van stimulansen is dat ontdekbare beveiligingslekken onopgemerkt of ongepatcht blijven, in feite wachtend op aanvallers om ze te vinden en uit te buiten."

Nu zal het besluit van het Hooggerechtshof helpen om veiligheidsonderzoek van openbaar belang te beschermen. Maar er is meer nodig, aldus het Knight First Amendment Institute van Columbia University. Het Congres zou de CFAA moeten wijzigen om alle resterende onzekerheid weg te nemen en een veilige haven voor onderzoekers te creëren, aldus het instituut. [5]

Het effect van de CFAA in de praktijk

Cyberbeveiligingsonderzoekers zeggen dat de CFAA een zwaard boven hun hoofd is geweest, ook al is hun beroep in de loop der tijd gestructureerder, respectabeler en lucratiever geworden.

Aan de ene kant hebben veel mensen binnen de overheid, het bedrijfsleven en de cyberbeveiligingsgemeenschap - waaronder bedreigingsjagers bij Mimecast - voor beide partijen gunstige regelingen getroffen om beveiligingsonderzoek te benutten en zelfs financieel te stimuleren. Sommige van 's werelds grootste techbedrijven hebben zogenaamde "bug bounty"-programma's, waarbij ze cyberbeveiligingsrisicojagers uitnodigen om op verantwoorde wijze in hun systemen in te breken en hen op de hoogte te stellen van eventuele gebreken. Dat doet ook het Amerikaanse ministerie van Defensie. [6]

Facebook, bijvoorbeeld, vierde de tiende verjaardag van zijn bug bounty-programma in november, met vermelding van meer dan 130.000 bevindingen, waarvan bijna 7.000 werden betaald bounties (in totaal ongeveer $ 2 miljoen in 2020 alleen). [7] Het bedrijf publiceert zijn dank voor verantwoorde openbaarmakingen, evenals uitbetalingsrichtlijnen voor specifieke soorten bevindingen. [8]

Andere bedrijven zijn echter doorgegaan met het negeren van de bevindingen van dreigingsjagers of het dreigen met rechtszaken op grond van de CFAA. "Sommige bedrijven hebben hun waardering uitgesproken voor het werk van onafhankelijke beveiligingsonderzoekers, maar andere zijn snel geneigd om tegen hen in het geweer te komen", aldus de EFF. [9]

In één geval hield een vooraanstaand kredietbeoordelingsbureau een gerapporteerde fout maandenlang voor zich, aldus de EFF, en uiteindelijk stalen aanvallers de persoonlijke informatie van bijna 150 Amerikanen. In een ander geval werd een beveiligingsonderzoeker bij de FBI aangegeven door een bedrijf dat stemtechnologie ontwikkelde.

Cyberbeveiligingsbedreigers in profiel

Cyberbeveiligingsrisico's kunnen worden aangepakt door middel van crowdsourcing, technologische kennis en andere voordelen.

In het midden van de pandemie, bijvoorbeeld, "zijn hackers de uitdagingen van het afgelopen jaar aangegaan, van het ondersteunen van bedrijven bij overhaaste digitale transformaties tot het besteden van meer tijd aan het beschermen van zorgverleners," volgens het 2021 Hacker Report. [10] Het rapport, gepubliceerd door het HackerOne bug bounty platform, schetst het volgende beeld van threat hunting in de praktijk:

• 1 miljoen bedreigingsjagers zijn geregistreerd op zijn platform, dat een van de grootste is.
• Ze verdienden in totaal 40 miljoen dollar in 2020.
• 85% van de hackers zegt dat ze het doen om te leren; 76% doet het voor de bounty's; en 62% hackt om hun carrière vooruit te helpen.
• 82% van hen doet het parttime.
• 37% heeft computerwetenschappen gestudeerd op postdoctoraal niveau.
• 27% heeft een bug niet gemeld vanwege een eerdere negatieve ervaring met het bedrijf in kwestie.

Veel cyberbeveiligingsbedrijven melden beveiligingslekken ook aan grote technologieplatforms, omdat zij de omgeving scannen op bedreigingen voor hun klanten. Mimecast, bijvoorbeeld, heeft verschillende verantwoordelijke onthullingen gedaan aan andere bedrijven, en nodigt uit tot verantwoordelijke onthullingen van kwetsbaarheden in zijn eigen systemen en diensten.

De kern van de zaak

Na een recente uitspraak van het Hooggerechtshof ondervinden cyberbeveiligingsrisicojagers minder juridische belemmeringen voor hun werk - het ontdekken en op verantwoorde wijze melden van beveiligingslekken in de technologieën en netwerken van bedrijven. De rechtszaak is een belangrijke mijlpaal in de evolutie van beveiliging door middel van crowdsourcing in een tijd van toenemende cyberrisico's.

[1] " Van Buren is een overwinning tegen te ruime interpretaties van de CFAA, en beschermt veiligheidsonderzoekers ," Electronic Frontier Foundation

[2] " The Supreme Court Will Hear its First Big CFAA Case ," TechCrunch

[3] " The Most Controversial Hacking Cases of the Past Decade ," Wired

[4] " Van Buren v. United States ," U.S. Supreme Court

[5] " Commentaar op de beslissing van het Hooggerechtshof in Van Buren v. United States ," Knight First Amendment Institute

[6] " "Hack the Army 3.0" bevordert innovatief Bug Bounty-programma ter bescherming van netwerken en gegevens ," U.S. Army

[7] " Marking the 10th Anniversary of Our Bug Bounty Program ," Facebook

[8] " Bedankt! ," Facebook

[9] " Brief van Amici Curiae ," Electronic Frontier Foundation

[10] " The 2021 Hacker Report ," HackerOne