President Barack Obama har avgjort at hovedregelen, også for NSA, skal være å sørge for å tette IT-sikkerhetshull. Kriteriene for å vurdere unntak til hovedregelen er ikke oppgitt. (Bilde: R. Umar Abbasi/ All Over Press)

– NSA bør varsle om IT-sårbarheter

… men kan gjøre unntak, sier president Barack Obama.

NSAs forhold til IT-sårbarheter er igjen kommet i søkelyset etter påstanden om at de oppdaget og utnyttet Heartbleed uten å orientere de ansvarlige for OpenSSL om dette alvorlige sikkerhetshullet, se artikkelen – NSA har utnyttet Heartbleed.

I fjor høst ble det kjent, gjennom dokumenter lekket av Edward Snowden, at NSA kjøper sårbarheter fra hackere. Blant NSAs leverandører av sårbarheter er Vupen Security, som har salg av ukjente sårbarheter som forretningsmodell.

NSA nekter kategorisk for å ha utnyttet Heartbleed, ifølge en e-post gjengitt i flere medier, blant dem britiske BBC. I meldingen heter det at NSA ikke kjent til OpenSSL-sårbarheten før den ble kjent i en rapport fra et IT-sikkerhetsselskap.

Talsperson for nasjonal sikkerhet i Det hvite hus, Caitlin Hayden, presiserte i sin offisielle uttalelse at dersom en føderal myndighet, inklusiv etterretningstjenester, hadde oppdaget denne sårbarheten på egen hånd, ville de ha underrettet de ansvarlige for OpenSSL.

Lørdag publiserte New York Times en gjennomgang av Obama-administrasjonens politikk på dette feltet.

Det forklares at president Barack Obama besluttet i januar i år at NSA bør, som hovedregel, sørge for at sårbarheter tettes framfor å tie med tanke på å utnytte dem til kyberspionasje eller kyberangrep.

Detaljene i beslutningen er ikke kjent. Men kilder i Det hvite hus bekrefter at det ble åpnet for unntak for denne hovedregelen, i tilfeller der det er et «klart behov innen nasjonal sikkerhet eller håndheving av loven».

Så er spørsmålet: Hvor langt går unntaket?

Ifølge Hayden har beslutningen fra januar vært gjennom en tre måneder lang vurderingsprosess. Resultatet av denne prosessen er at det skal legges større vekt på å få tettet en sårbarhet enn å utnytte den. I en presisering om bruken av nulldagssårbarheter heter det at disse bare skal utnyttes i svært begrenset grad. Kyberangrepene mot Irans urananrikningsanlegg utnyttet, som kjent, fire nulldagssårbarheter.

Den samme vurderingsprosessen har, ifølge Hayden, ført til en anbefaling til NSA om at forsøk på å bygge bakdører i kommersielle IT-sikkerhetsprodukter må opphøre.

NSA og USAs kyberkommando (US Cyber Command) har reagert mot de nye retningslinjene, og advart at å si fra seg muligheten til å utnytte ukjente IT-sikkerhetshull er en form for ensidig nedrustning, like lite hensiktsmessig som å avskaffe alle USAs kjernefysiske våpen uten at Russland eller Kina gjør det samme.

Til toppen