Förra månaden lanserades USA:s nationella it-säkerhetsstrategi. Det är en ny plan för ett starkare samarbete mellan parterna inom det digitala ekosystemet. I strategin krävs det att programvarutillverkare och den amerikanska it-branschen tar mycket större ansvar för att säkerställa att deras system inte kan hackas, samtidigt som FBI och försvarsdepartementet utökar arbetet med att störa hackare och ransomware-gruppers aktivitet runt om i världen [1].
Strategierna för it-säkerhet som syftar till att förbättra den övergripande internetsäkerheten och minska cyberhot kommer sannolikt att ha en positiv inverkan på domänskyddet. Om de amerikanska myndigheterna till exempel inför nya åtgärder för att upptäcka och förhindra cyberattacker kan det bidra till att minska antalet attacker som riktar sig mot domännamn och domännamnssystem (DNS). På högre nivå tar USA:s nationella it-säkerhetsstrategi upp säkring av kritisk infrastruktur – molntjänster, domänregistrarer, e-post, värdtjänstleverantörer, andra digitala tjänster och DNS. Det här bör åtminstone ge mer säkerhetsmedvetna registrarer i företagsklass goda möjligheter att föregå med gott exempel för registrarer som inte arbetar med kundkännedom (KYC) eller som inte har andra säkerhetsprotokoll, t.ex. registerlås eller DNSSEC, på plats för sina kunder. Strategin tar också upp att internet och DNS är sårbara infrastrukturer, och i Vita husets faktablad fastställs att en del av målet med att investera i resiliens måste vara att ”minska systemtekniska sårbarheter i grunden för internet och i hela det digitala ekosystemet” [2].
Nyligen har andra regeringar runt om i världen utvecklat egna nationella it-säkerhetsstrategier för att hantera växande cyberhot. Storbritannien, Kanada, Australien och Japan är bara några exempel på länder som har tagit fram it-säkerhetsstrategier med beskrivningar av deras respektive metoder för att hantera cyberhot. De fokuserar på starkare infrastruktur och utökat samarbete mellan intressenter.
Hittills har det dock inte varit något betydande fokus från den amerikanska regeringens sida att vidta domänskyddsåtgärder i vidare omfattning. Det finns tre problem med det:
- Inom de bredare diskussionerna om phishing och ransomware läggs inte mycket uppmärksamhet på förebyggande åtgärder (domänrelaterade säkerhetsåtgärder) som kan minska omfattningen i ett tidigt skede av en ransomware-attack.
- Det finns inga standarder som skiljer domänregistrarer på konsumentnivå från domänregistrarer i företagsklass, vilket har gjort det möjligt för registrarer på konsumentnivå att driva marknadsplatser med domänförsäljningar med drop-catch (förhandsbokning), auktioner och försäljning av varumärkesskyddade domännamn till högstbjudande.
- Branschen saknar förståelse för vikten av domänskydd och för de tillgängliga alternativen för att implementera effektiva åtgärder i riskhanteringsstrategier.
För dem som är fokuserade på internetbedrägerier och missbruk av varumärken online understryker strategin vikten av att fokusera på skydd mot phishing-attacker, e-postintrång (BEC) och bedrägerier vid banköverföringar. Eftersom sådana bedrägerier ofta innebär imitation av betrodda varumärken är det här skyddet en positiv utveckling för varumärkesägare och företrädare för varumärkes- och IP-rättigheter, samt för konsumentsäkerhet online. De här attackerna sker ofta genom intrång i legitima webbdomäner eller genom registrering av falska webbdomäner. Avsikten med sådana falska domänregistreringar är att åka snålskjuts på det förtroende som det utsatta varumärket har, för att sedan kunna utföra nätfiskeattacker, andra former av missbruk av digitala varumärken eller IP-intrång som leder till intäktsförluster, omdirigering av trafik och försämrat varumärkesrykte.
I allmänhet beror effekten av den amerikanska regeringens it-säkerhetsstrategi om domänskydd på vilka specifika åtgärder som tas med i strategin och på hur effektivt de implementeras. Mer information om CSC:s bästa metoder för domänskydd finns i våra rekommendationer för domänskydd.
[1] nytimes.com/2023/03/02/us/politics/biden-cybersecurity-strategy.html
[2] U.S. National Cybersecurity Strategy, https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf