随着对海外黑客带来的安全风险的担忧日益加剧，美国商务部工业与安全局(BIS)发布了对某些网络安全出口禁令的修订。该禁令于去年首次宣布，有效禁止未经BIS许可向中国、俄罗斯和其他一些国家出口黑客软件和设备。

“这些项目需要控制，因为这些工具可用于监视、间谍活动或其他破坏、拒绝或降级网络或设备的行为，”新的和最终规则在《联邦公报》上发布，自5月26日起生效.

因此，出口禁令可能涵盖间谍软件，例如由以色列公司NSO Group开发的Pegasus，并被独裁政府有争议地用于监视记者、活动家、政治家和企业高管。

此举使美国与其他42个国家保持一致，这些国家是《瓦森纳常规武器和两用货物和技术出口管制安排》的成员。

去年发布的该规则的早期版本为授权网络安全出口(ACE)引入了新的许可例外。这包括响应网络安全行业的担忧，允许将“网络安全项目”出口、再出口和国内转移到大多数目的地。

因此，根据去年的草案，同意只有向担心国家安全或大规模杀伤性武器的国家以及受到美国武器禁运的国家出口才需要许可证。

这个最终版本是在公众咨询后制作的，包括对本节的一些更改。其中包括澄清“政府最终用户”的定义，重写一些文本以使其更清晰，以及更正BIS表示“无意中”扩大了例外范围的措辞。

此前，网络安全行业曾强烈反对，担心控制涵盖的工具和技术范围太广，所涉及的繁文缛节会妨碍善意黑客和漏洞赏金猎人的工作，以及对网络安全的限制入侵软件的开发将阻碍国际网络安全研究。

Bugcrowd创始人兼首席技术官Casey Ellis表示：“该规则旨在成为一个框架，用于理解和阻止向国家组政府输出网络能力——主要是漏洞利用，但也可能是TTP、IOC等”。

“物理武器的出口管制已经够难了——加密出口管制已经说明了在网络领域监管出口很困难的想法，在美国实施将网络包括网络在内的瓦森纳协议也不例外。”

对该规则仍有一些担忧，许多对草案的评论者认为它存在合规困难，而且不一定总是很清楚——例如，关于它是否会控制网络安全事件检测和监控软件的问题。

BIS正试图通过定期发布常见问题解答来解决这个问题，并表示计划随着时间的推移提供更多指导。

“这里好的和明确的一点是，BIS已经听取并积极考虑来自安全、研究和赏金猎人社区的反馈，”埃利斯说。

“需要关注的一个重要部分是许可证要求的范围，他们承诺通过常见问题解答概述和维护这些要求。这些常见问题解答最终将决定谁需要根据裁决获得许可，以及谁被排除在外。”