美國政府修訂網絡安全出口禁令

2021年10月21日，美國商務部頒布了一項網絡安全出口管制規定，禁止未經許可向中國和俄羅斯出口或轉售黑客工具。

這項規定在頒布后90天生效，要求美國科技公司除非獲得商務部工業與安全局（BIS）許可，否則不得向中國、俄羅斯及其他重點針對國家出售任何黑客軟件及設備。美國商務部聲稱此舉為了令對手更難利用相關網絡工具去破壞人權、中斷通信等，同時仍為網絡安全公司保留一定的工具流通空間。

近日，隨著“對海外黑客帶來的安全風險的擔憂日益加劇”，美國商務部工業與安全局(BIS)發布了對該網絡安全出口管控規定的修訂。

管控范圍：能夠破壞、癱瘓或降級網絡或設備的技術

BIS在公告中指出：“BIS正在完成許可證例外（ACE）以及出口管理條例(EAR)定義部分的相應更改。可用于監視、間諜活動或其他破壞、癱瘓或降級網絡或設備的項目需要進行管控”。修訂后的最終版本將在《聯邦公報》上發布，自5月26日起生效。

這意味著，最終的出口管制規定可能涵蓋間諜軟件，例如由以色列公司NSO Group開發的飛馬間諜軟件（Pegasus），該軟件被一些政府用于監視記者、活動家、政治家和企業高管。

去年10月發布的草案考慮到了美國網絡安全行業的訴求，在授權網絡安全出口(ACE)中引入了新的許可例外，允許將“網絡安全項目”出口、再出口和國內轉移到大多數目的地。

新版本總體繼承了去年草案的許可例外條款，同意只有向對美國國家安全造成威脅或持有大規模殺傷性武器，以及遭受美國武器禁運的國家出口才需要許可證。

值得注意的是，新版本為密碼分析項目、網絡滲透工具、自動化網絡漏洞分析和響應工具（740.17：加密商品、軟件和技術，ENC）專門制訂了最終使用限制規定，防止這些技術被打包到符合例外條款的“網絡安全項目”中繞過管控。

此外，修訂后版本還包括澄清和明確了對“政府最終用戶”的定義（添加了符合此定義的最終用戶的詳細說明性列表），以及更正了BIS聲稱的“無意中”擴大了例外范圍的模糊措辭。

美國網絡安全行業強烈反對

此前，美國網絡安全行業曾強烈反對該出口禁令，擔心其管控的工具和技術范圍太廣，所涉及的繁文縟節會妨礙白帽黑客和漏洞賞金獵人的工作，對進攻性安全軟件開發的限制也將阻礙國際網絡安全研究。

Bugcrowd創始人兼首席技術官凱西艾利斯表示：“該出口管控規則旨在成為一個框架，用于了解和阻止向某些國家政府輸出網絡安全能力——主要是漏洞利用，但也可能是TTP、IOC等情報服務”。

“物理武器的出口管制已經夠難了——加密出口管制已經說明了對網絡安全領域實施出口監管是一件極為困難的事，在美國實施涵蓋網絡安全領域的《瓦森納協定》面臨同樣的情況。”

合規困難

很多美國網絡安全業界人士也對出口管控的合規表示擔憂，許多草案的評論者認為該規定存在合規困難，規定中的一些范圍和定義比較模糊，例如不清楚網絡安全事件檢測和監控軟件是否在受控范圍。此外還有很多評論者對合規成本頗多微詞。

BIS通過定期發布常見問題解答來跟業界溝通，并表示將隨著時間的推移提供更多合規指導。

“值得肯定的是，（從修訂版本來看）BIS已經聽取并積極考慮了來自安全、研究和賞金獵人社區的反饋，”艾利斯表示：“業界最關注的是哪些產品技術需要申請許可證，BIS承諾通過問答方式給出常見問題解答，明確誰將需要根據裁決獲得許可，以及誰被排除在外。”

參考鏈接：

https://www.federalregister.gov/documents/2022/05/26/2022-11282/information-security-controls-cybersecurity-items

（來源：@GoUpSec）