Cybersäkerhet och etiska perspektiv på nolldagars sårbarheter
I en ny artikel i tidskriften Journal of Information Warfare lyfts frågan om när kunskap om så kallade nolldagars sårbarheter ska offentliggöras, eller om de ska hållas hemliga för att möjliggöra till exempel offensiva cyberoperationer.
Nolldagars sårbarheter är ett begrepp som används när man pratar om säkerhetsbrister i datorers hård- eller mjukvara som är okända för tillverkaren eller utvecklaren. Säkerhetsbristerna kan utnyttjas för att attackera systemen innan utvecklaren blir medveten om problemet och hinner åtgärda det, något som kallas noll-dagars-attacker. Dag noll står för tiden innan utvecklaren eller tillverkaren åtgärdat sårbarheten.
– I dag saknas forskning om etik och nolldagars sårbarheter. Ur ett etiskt perspektiv är det viktigt att fundera över i vilka fall nolldagars sårbarheter ska avslöjas eller inte, och det här etiska dilemmat är kärnan i artikeln, säger Gazmend Huskaj, doktorand i försvarssystem vid Försvarshögskolan.
Beroende på omständigheterna kan det vara berättigat att utnyttja nolldagars sårbarheter för cyberoperationer, för att till exempel undvika en större konflikt.
– Genom att titta på tidigare fall i till exempel Israel, kan vi se att man ibland valt cyberoperationer för att påverka Irans kärnvapenprogram. Med hög sekretess och operationssäkerhet kunde man störa Irans kärnvapenprogram med låg risk för de egna operatörerna och för att starta en storskalig konflikt i närområdet, säger Gazmend Huskaj.
Öka medvetenheten
Syftet med artikeln är framför allt att öka medvetenheten hos politiker, myndigheter och allmänheten i stort om dilemmat som uppstår när man upptäcker den här typen av sårbarheter i it-system.
– Det är viktigt att svenska beslutsfattare på policynivå blir medvetna om de beslut de kan tänkas ställas inför om en svensk myndighet identifierar en nolldagars sårbarhet. Ska sårbarheten användas för möjliga svenska offensiva operationer eller egen underrättelseinhämtning, eller ska man informera främst användare i den privata sektorn liksom även tillverkaren så att säkerhetshålet kan täppas till? Det finns ju alltid en risk att en annan aktör hittar sårbarheten och använder den mot oss, säger Gazmend Huskaj.
Josefin Svensson
Publikation
Offensive cyberspace operations and zero-days: anticipatory ethics and policy implications for vulnerability disclosure, Journal of Information Warfare.
Sidinformation
- Publicerad:
- 2021-01-19
- Senast uppdaterad:
- 2024-03-15