Syndfloden av cyberattacker som sveper över världen har fått regeringar och företag att fundera på nya sätt att skydda sina digitala system, och företags- och statshemligheter som lagras inom. Under en lång tid, cybersäkerhetsexperter har byggt upp brandväggar för att hålla borta oönskad trafik och satt upp lockbetemål på sina nätverk för att distrahera hackare som kommer in. De har också sökt igenom internet efter tips om vad cyberbrottslingar kan hitta på för att bättre skydda sig själva och sina klienter.

Nu, fastän, många ledare och tjänstemän börjar fundera på att intensifiera sina defensiva aktiviteter, genom att vidta mer aktiva åtgärder. Ett extremt alternativ inom detta område av aktivt försvar kallas ibland för att "hacka tillbaka" till en motståndares system för att få ledtrådar om vad de gör, stänga av attacken eller till och med radera data eller på annat sätt skada en angripares datorer.

Jag har undersökt fördelarna och nackdelarna med olika aktiva försvarsalternativ med Danuvasin Charoen från Thai National Institute of Development Administration och Kalea Miao, en undergraduate Cox-stipendiat vid Indiana University Kelley School of Business. Vi har funnit ett överraskande antal och olika företag – och länder – som utforskar olika sätt att vara mer proaktiva i sina cybersäkerhetsmetoder, ofta med lite fanfar.

Blir aktiv

På ytan, det kan tyckas som om ordspråket är rätt:"Det bästa försvaret är ett bra anfall." Skadorna från cyberattacker kan vara enorma:I maj 2017, en enda incident, WannaCry cyberattacken, påverkade hundratusentals system runt om i världen och orsakade mer än 4 miljarder USD i förlorad produktivitet och kostnader för dataåterställning. En månad senare, ännu en attack, heter NotPetya, kostade den globala fraktjätten Maersk 300 miljoner dollar och reducerade företaget till att förlita sig på det Facebook-ägda meddelandesystemet WhatsApp för officiell företagskommunikation.

Inför denna omfattning av förlust, vissa företag vill stärka sitt försvar. Företag med sofistikerade tekniksystem vet vad som behövs för att skydda sina kunder, nätverk och värdefulla affärshemligheter. De har sannolikt också anställda med kompetens att spåra hackare och penetrera angriparnas egna system. Men etiken och implikationerna av att motivera en cyberattack som defensiv blir väldigt komplicerade väldigt snabbt.

Det är ofta oklart, till exempel, exakt vem som ligger bakom en attack – osäkerhet som kan pågå i dagar, månader eller till och med år. Så vem ska hackaren rikta in sig på? Tänk om ett privatägt amerikanskt företag trodde att det var under attack från ett företag som ägs av den kinesiska regeringen? Om den hackade tillbaka, skulle det vara en krigshandling mellan länderna? Vad ska hända för att reparera företags- och internationella relationer om företaget hade fel och dess angripare var någon annanstans? Företag bör inte ha befogenhet att starta globala cyberkonflikter som kan få fruktansvärda konsekvenser, men online och offline.

Självklart, det är också viktigt att tänka på vad som kan hända om andra länder tillåter sina företag att hacka tillbaka mot amerikanska myndigheter eller företags ansträngningar. Fler amerikanska företag kan bli offer för cyberattacker som ett resultat, och kan få lite rättslig utväg.

Engagerar sig i lagen

Just nu, hacka tillbaka är olagligt, i USA och i många länder runt om i världen. I USA., Computer Fraud and Abuse Act gör det till ett brott att komma åt en annan dator utan tillstånd. Varje medlem av G-7, inklusive USA, samt Thailand och Australien, har förbjudit att hacka tillbaka. Under 2018, mer än 50 länder – men inte USA – undertecknade ett avtal om att privata företag baserade i deras länder inte får hacka tillbaka.

Dock, anhängare av aktiv defensiv taktik driver sitt budskap hårt. Det republikanska partiets presidentplattform 2016 lovade att se till att "användare har en självförsvarsrätt att hantera hackare som de tycker är lämpligt." I mars 2018, delstatens lagstiftande församling i Georgia antog ett lagförslag för att tillåta "aktiva försvarsåtgärder som är utformade för att förhindra eller upptäcka obehörig datoråtkomst." Två månader senare, dåvarande Gov. Nathan Deal lade in sitt veto, på uppmaning av teknikföretag som är oroade över dess "nationella säkerhetskonsekvenser och andra potentiella konsekvenser."

Hade det blivit lag, Georgiens lagförslag skulle sannolikt fortfarande ha stött på federal lag. Dock, lagstiftare i Washington har också föreslagit att låta företag engagera sig i vissa typer av aktivt försvar. Under 2017, USA:s representant Tom Graves, en Georgia republikan, föreslagit Active Cyber ​​Defense Certainty Act, som skulle låta företag delta i vissa aktiva försvarsåtgärder, inklusive att utföra övervakning av potentiella angripare, förutsatt att företaget informerade FBI först och att åtgärden inte hotade "folkhälsa eller säkerhet". Lagförslaget dog och har ännu inte återinförts; det är inte troligt att det kommer långt i det nya demokratiska huset.

Aktivt försvar är fortfarande olagligt i USA och stora delar av världen. Men förbuden verkställs inte hemma eller utomlands.

Blir global

Inte alla länder har förbjudit att hacka tillbaka. Singapore, till exempel, har tillåtit lokala företag att engagera sig i aktiva försvarsåtgärder i ett försök att förhindra, upptäcka, detektera, eller motverka specifika hot mot dess kritiska infrastruktur, inklusive finansbranschen. Andra nationer, som Frankrike, vill inte se den privata sektorn utanför, men är fortfarande angelägna om att behålla aktivt försvar som ett alternativ för regeringar.

Ju fler länder tillåter aktivt försvar, desto mer sannolikt är alla – i USA och runt om i världen – att bli offer för cyberangrepp. Istället för att avskräcka attacker, aggressivt aktivt försvar ökar möjligheten att lamporna slocknar, eller amerikanska röstningsmaskiner som ger felaktiga resultat.

Organisationer kan och bör uppmuntras att vidta passiva försvarsåtgärder, som att samla in underrättelser om potentiella angripare och rapportera intrång. Men enligt min åsikt bör de avskräckas – om de inte hindras – från att agera aggressivt, på grund av risken att destabilisera företags- och internationella relationer. Om strävan efter cyberfred urartar till en strid av digital vigilantism. global osäkerhet kommer att bli större, inte mindre.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.