Peraturan baharu Jabatan Perdagangan A.S.: Berkongsi kelemahan keselamatan ke China tanpa kelulusan adalah dilarang dan bantahan Microsoft adalah tidak sah

Baru-baru ini, Biro Industri dan Keselamatan (BIS) Jabatan Perdagangan A.S. secara rasmi mengeluarkan peraturan kawalan eksport terkini untuk bidang keselamatan siber.

Ya, BIS yang menerbitkan "Senarai Entiti" dan "Senarai Hitam Dagangan" dalam beberapa tahun kebelakangan ini, ia boleh dianggap sebagai "rakan lama netizen Cina".

Apa pula kali ini? Ia terutamanya mengenai pengurusan dan kawalan keselamatan rangkaian dan maklumat kelemahan.

Ringkasnya, apabila entiti A.S. bekerjasama dengan organisasi dan individu yang berkaitan dengan kerajaan China, jika kelemahan keselamatan dan maklumat ditemui, ia tidak boleh didedahkan secara langsung dan mesti disemak terlebih dahulu oleh Kementerian Perdagangan.

Alasannya ialah "keselamatan negara" yang teruji dan "keperluan untuk memerangi keganasan".

Malah, peraturan baharu yang diumumkan kali ini adalah pengesahan terakhir peraturan interim (draf ulasan) pada Oktober 2021. Peraturan ini membahagikan negara di seluruh dunia kepada empat kategori: A, B, D, dan E, dengan langkah-langkah sekatan dan ketegasan semakin meningkat.

China dikelaskan dalam kategori D, iaitu "negara dan wilayah terhad", dan kategori E ialah "negara sekatan menyeluruh".

Peraturan ini menetapkan kaedah kawalan baharu untuk projek keselamatan rangkaian tertentu untuk tujuan "pertimbangan keselamatan negara dan memerangi keganasan."

Pada masa yang sama, BIS juga menambah pengecualian baharu untuk membenarkan pintu keluar keselamatan siber. Kandungan teras adalah untuk membenarkan pengeksportan item keselamatan siber ini ke kebanyakan destinasi, tetapi tidak dengan pengecualian yang dinyatakan di atas.

BIS percaya bahawa projek terkawal ini boleh digunakan untuk pengawasan, pengintipan atau tindakan lain yang bertujuan untuk mensabotaj.

Selain itu, peraturan juga meminda nombor klasifikasi kawalan eksport dalam Senarai Kawalan Perdagangan.

Peraturan BIS baharu membahagikan negara di seluruh dunia kepada empat kategori: A, B, D dan E. Kategori D ialah negara dan wilayah yang paling prihatin dan terhad.

Seperti yang ditunjukkan dalam gambar di atas, China dikelaskan dalam kategori D.

Mengikut keperluan peraturan baharu, apabila entiti bekerjasama dengan jabatan atau individu kerajaan yang berkaitan di negara dan wilayah Kelas D, mereka mesti memohon terlebih dahulu dan mendapatkan kebenaran sebelum mereka boleh menghantar potensi maklumat kelemahan Rangkaian rentas sempadan.

Sudah tentu, terdapat pengecualian kepada syarat tersebut Jika ia adalah untuk tujuan keselamatan siber yang sah, seperti pendedahan awam tentang kelemahan atau tindak balas insiden, permohonan awal tidak diperlukan.

​Seperti yang anda lihat, keselamatan negara China, biokimia, teknologi peluru berpandu dan sekatan senjata A.S. semuanya ditandakan dengan X.

​Dokumen tersebut menyatakan bahawa keperluan pelesenan untuk individu yang bertindak bagi pihak kerajaan adalah perlu untuk menghalang mereka yang bertindak bagi pihak kerajaan di negara Kumpulan D daripada mendapatkan "lesen siber untuk terlibat dalam aktiviti yang bertentangan dengan keselamatan negara dan kepentingan dasar luar Amerika Syarikat." Projek Keselamatan".

Tanpa keperluan ini, ini mungkin menyebabkan kerajaan negara Kelas D mempunyai akses kepada projek ini.

Keperluan yang diterima pakai oleh BIS ini bermakna pengeksport mesti dalam beberapa kes menyemak gabungan kerajaan individu dan syarikat yang mereka bekerjasama.

​Walau bagaimanapun, disebabkan skop terhad dan kebolehgunaan keperluan pelesenan, BIS percaya keperluan tersebut akan melindungi keselamatan negara A.S. dan kepentingan dasar luar negara tanpa menjejaskan aktiviti keselamatan siber yang sah.

Pada masa yang sama, BIS juga telah menyemak klausa § 740.22(c)(2)(i), yang sebenarnya meluaskan skop pengecualian.

Syarat semasa membenarkan eksport produk digital ke negara Kumpulan D, atau eksport mana-mana item keselamatan siber ke negara Kumpulan D untuk agensi polis atau kehakiman.

Walau bagaimanapun, BIS sebenarnya hanya berhasrat untuk membenarkan eksport produk digital kepada polis atau agensi kehakiman di negara Kumpulan D untuk tujuan penyiasatan jenayah atau sivil atau pendakwaan.

Boleh dikatakan bahawa perubahan ini mencerminkan pendapat yang diharapkan.

Objek Microsoft, tidak sah!

Berkenaan peraturan baharu BIS, gergasi teknologi domestik di Amerika Syarikat tidak monolitik gergasi perisian Microsoft telah menyatakan bantahannya dengan jelas.

Seawal tahun lepas, selepas peraturan ini dikeluarkan untuk rundingan, Microsoft mengemukakan bantahannya terhadap dokumen ini dalam bentuk ulasan bertulis di bahagian komen.

​

Microsoft menyatakan bahawa jika individu dan entiti yang terlibat dalam aktiviti keselamatan siber dihadkan kerana hubungan dengan kerajaan, ia akan sangat menekan pasaran keselamatan siber global Keupayaan aktiviti keselamatan siber rutin yang digunakan pada masa ini.

Banyak kali, apabila syarikat tidak dapat menentukan sama ada pihak lain itu berkaitan dengan kerajaan, syarikat hanya boleh melepaskan kerjasama apabila berhadapan dengan tekanan pematuhan.

Pembangkang Microsoft tidak menghairankan.

Mekanisme perkongsian kerentanan semasa sangat penting kepada ekosistem pembangunan perisian Microsoft. Banyak kali, Microsoft perlu menganalisis kelemahan melalui kejuruteraan terbalik dan teknologi lain sebelum mengeluarkan tampalan dan peningkatan yang berkaitan Sebaik sahaja mekanisme perkongsian kerentanan dimusnahkan, ia secara langsung akan mengurangkan kelajuan penemuan dan pembaikan kelemahan Microsoft.

Microsoft mencadangkan agar BIS memperjelaskan lagi takrifan "pengguna akhir kerajaan", atau sekurang-kurangnya menjelaskan individu atau entiti mana yang boleh diliputi oleh takrifan ini.

Apabila BIS mengeluarkan draf akhir peraturan, ia menyebut bantahan Microsoft tanpa menamakannya dan menyatakan bahawa "BIS tidak bersetuju dengan pendapat ini."

BIS disebut dalam dokumen:

"Syarikat telah menyatakan bahawa sekatan ke atas orang yang mewakili 'pengguna akhir kerajaan' akan menghalang kerjasama rentas sempadan dengan kakitangan keselamatan siber kerana Syarikat mengesyorkan agar keperluan ini dihapuskan. atau memindanya sebelum berkomunikasi dengan mereka.”

Keputusan muktamad ini dikeluarkan minggu lepas.

Walau bagaimanapun, peraturan tersebut menerima pakai beberapa pendapat daripada komuniti penyelidik, mengecilkan lagi skop kelemahan keselamatan yang perlu disemak, dan menambah pengecualian sementara.

Iaitu: jika ia adalah untuk tujuan keselamatan siber yang sah, seperti mendedahkan kelemahan awam atau bertindak balas terhadap insiden keselamatan, tiada semakan diperlukan.

Pengecualian ini sebahagian besarnya adalah untuk mewujudkan keadaan yang diperlukan untuk operasi biasa komuniti sumber terbuka.

Walaupun Microsoft mengucapkan terima kasih kepada BIS kerana menyemak semula peraturan, ia juga menyatakan bahawa ia tidak pasti sama ada pengecualian sedemikian dapat menyelesaikan masalah sebenar.

"Apa yang dibenarkan untuk didedahkan secara langsung dan apa yang tidak dibenarkan untuk didedahkan masih dalam keadaan kekeliruan. Aktiviti mana yang memerlukan permohonan kebenaran tidak dapat ditentukan pada peringkat ini. Kami bimbang untuk teknologi tersebut yang tidak boleh diklasifikasikan sepenuhnya ke dalam kategori penggunaan khusus , permohonan lesen akan menjadi sangat menyusahkan.”

BIS mengakui kebimbangan Microsoft, tetapi menegaskan bahawa peruntukan ini akan mendatangkan lebih baik daripada membahayakan keselamatan negara A.S.

Serupa dengan "Perjanjian Wassenaar"

Malah, seawal Oktober 2021, BIS mengeluarkan peraturan "melarang eksport alatan rangkaian yang menyinggung perasaan" , menghalang entiti A.S. daripada menjual alat siber yang menyinggung perasaan kepada China dan Rusia.

Setiausaha Perdagangan A.S. Gina Raimondo berkata, "Melaksanakan kawalan eksport ke atas item keselamatan siber tertentu ialah pendekatan yang sesuai untuk melindungi keselamatan negara A.S. daripada pelaku yang berniat jahat."

BIS seterusnya menyatakan bahawa peraturan semasa juga dalam rangka kerja "Perjanjian Wassenaar", iaitu "Perjanjian Wassenaar mengenai Kawalan Eksport Senjata dan Barangan Dwi-Kegunaan dan Teknologi.

​

Perjanjian Wassenaar menetapkan bahawa negara anggota memutuskan sendiri untuk mengeluarkan lesen eksport dwi-guna bagi produk dan teknologi sensitif, dan secara sukarela asas Memberitahu maklumat yang berkaitan kepada negara anggota Perjanjian yang lain secara asas.

Malah, perjanjian itu sebenarnya dikawal oleh Amerika Syarikat secara besar-besaran dan menjejaskan peraturan kawalan eksport negara anggota lain, menjadi alat penting bagi Barat untuk melaksanakan monopoli teknologi tinggi ke atas China.

Perjanjian itu mengawal dasar eksport "teknologi ketenteraan dan dwi-guna". Terdapat 42 negara perjanjian, termasuk negara maju utama seperti Amerika Syarikat, Britain, Perancis, Jerman dan Jepun. Walaupun Rusia juga merupakan pihak dalam perjanjian itu, ia masih merupakan salah satu sasaran embargo.

Atas ialah kandungan terperinci Peraturan baharu Jabatan Perdagangan A.S.: Berkongsi kelemahan keselamatan ke China tanpa kelulusan adalah dilarang dan bantahan Microsoft adalah tidak sah. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!