Rapporter om skadliga och riktade cyberattacker blir allt vanligare runt om i världen. I början av februari, till exempel, Australiens säkerhetsbyråer avslöjade att det undersökte ett försök till hackning av landets parlament, och hade inte uteslutit att ett annat land låg bakom det.

När mer komplexa och potentiellt skadliga attacker mot kritiska nationella infrastruktursystem upptäcks, uppmaningarna blir allt starkare för internationella regler för att styra denna framväxande stridsfront.

Ansträngningar för kontroll av cybervapen har till övervägande del kretsat kring en modell där "armarna" relaterar till beväpnad kod – specifika hackverktyg eller mjukvarans sårbarheter som möjliggör dem. Försök har gjorts för att begränsa spridningen och spridningen av vad som kallas "zero-day exploits" – bristerna i ett programs kod som tillåter illvilliga angripare att störa systemen som kör dem.

En nyligen avslöjad Reuters avslöjar verksamheten i en hemlig gren av Förenade Arabemiratens (UAE) National Electronic Security Authority (NESA) avslöjade en annan del av offensiva cyberattacker – expertis. Denna fråga väckte ytterligare internationell uppmärksamhet när FBI i mitten av februari tillkännagav anklagelser mot Monica Witt, en före detta US Air Force-analytiker, anklagad för spionage och avhopp till Iran.

Cyberlegosoldater

Reuters undersökning beskriver i detalj hur några tidigare anställda vid den amerikanska säkerhetsmyndigheten (NSA), operatörer med expertis inom digital penetrationsteknik, onlineunderrättelseinsamling och offensiva cyberoperationer, kontrakterades via ett Maryland-baserat företag för att arbeta för Förenade Arabemiraten.

Undersökningen nämner specifikt ett av verktygen – Karma – som dessa entreprenörer använde på uppdrag av UAE mot specifika mål. Detta hackverktyg tillät dess operatörer att få oinbjuden och fjärråtkomst till ett måls Apple-telefon genom ett ospecificerat fel som nu tros ha åtgärdats av Apple. Reuters rapporterade att målen för dessa attacker sträckte sig från människorättsaktivister, till amerikanska journalister.

Artikeln väckte frågor om huruvida dessa entreprenörer kan ha försett sina NESA-anställda med avancerade cyberfunktioner utvecklade av deras tidigare arbetsgivare, NSA. Men undertexten i Reuters-undersökningen är att expertisen hos dessa tidigare underrättelseofficerare är lika attraktiv för deras nya arbetsgivare som alla verktyg de kan ha med sig.

I en separat artikel, specifikt undersöker karma, Reuters hävdar att den köptes av Emiratis regering från en leverantör utanför landet. I själva verket, Förenade Arabemiraten hade anställt ett team av specialistingenjörer utan arbete som inte kunde ta med sig de verktyg de hade använt i USA, så det köpte dem sedan de verktyg de behövde för att få jobbet gjort. Detta tyder på att det finns två komponenter som krävs för att skapa en stat eller grupp med avancerad cyberkapacitet:verktygen och expertis.

Verktyg och expertis

Globala ansträngningar pågår för att styra de verktyg som används vid cyberattacker, som Global Commission on the Stability of Cyberspace, som introducerade en rad internationella normer om användningen av cyberrymden för att främja stabiliteten på internet och god praxis för alla inblandade. Andra ansträngningar har varit på den lagstiftande nivån, såsom specifika tillägg till Wassenaar-arrangemanget, ett exportkontrollarrangemang som syftar till att begränsa spridningen av civil teknik som kan sättas till militariserad användning. Men cyberoperatörernas expertis har hittills fått begränsad uppmärksamhet.

I scenariot som beskrivs av Reuters, NESA och dess Project Raven hade inte kunnat fungera utan vare sig verktygen eller expertis. Verktyget i sig – Karma – och den expertis och erfarenhet som krävs för att använda det och träna andra att göra det, båda kräver betydande investeringar.

Farorna med statliga investeringar i insamling av mjukvarufel och skapandet av kraftfulla verktyg som sedan utnyttjar dessa tidigare okända svagheter demonstrerades smärtsamt genom läckandet av sårbarheten som lagrats av NSA, EternalBlue. Detta var ryggraden i WannaCry-attacken som skapade internationella rubriker 2018 genom dess inverkan på det brittiska NHS och andra internationella affärs- och statliga tjänster.

Men oron bör växa över förmågan som stater investerar i kompetensen hos de människor som upptäcker och sedan beväpnar brister i programvaran som driver våra allt mer sammankopplade och internetberoende liv. Regeringar över hela världen förbereder sig för vad de ser som nästa domän för krigföring genom att försöka rekrytera befintliga talanger till statliga projekt eller genom att utbilda nästa generations cybersäkerhetsexperter som de hoppas ska ge dem en fördel.

Det finns en risk att i globala ansträngningar som fokuserar på staters användning av cyberverktyg och exploatering av sårbarheter i programmeringskod, det håller på att utvecklas en lagstiftnings- och styrningsklyfta. Detta kan få stater att investera i utbildning av cyberspioner, sabotörer eller framtidens soldater bara för att hitta de kritiska färdigheterna och den kapacitet de tillhandahåller, som blir tillvaratagna av högstbjudande.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.