Het Pentagon wil ook private bedrijfsnetwerken gaan monitoren, om zo bedrijven tegen aanvallers te beschermen. Deze week liet een Amerikaanse defensiefunctionaris weten dat bedrijven die geen federale monitoring software installeren om mogelijke cyberaanvallen te detecteren, iedereen in gevaar brengen. Volgens staatssecretaris van Defensie William Lynn, moet uiteindelijk het Einstein monitoringsysteem van de National Security Agency (NSA) op private netwerken worden ingezet. Het gaat dan met name om financiële, nuts en telecommunicatiebedrijven. Allemaal met het doel om Amerikaanse burgers te beschermen.

"Beheerders van kritieke infrastructuur zouden mee kunnen doen aan een door de overheid gesponsord security regime. Individuele gebruikers die niet mee willen doen, kunnen in het wilde westen van een onbeschermd internet achterblijven", aldus Lynn. Het niet beschermen van elektriciteitsnetwerken en de financiële sector zou voor fysieke en economische schade op een gigantische schaal kunnen zorgen.

Burgerrechtenbewegingen vragen zich af welke informatie het intrusion-detection systeem van de NSA allemaal verzamelt en deelt. Daarnaast heeft de Amerikaanse overheid nog niet duidelijk gemaakt hoe het systeem verschilt van andere IDS'en die al bij bedrijven aanwezig zijn. Einstein 2 is ontworpen om full packet inspection te doen van al het verkeer van en naar overheidsnetwerken. Einstein 3, dat nog in ontwikkeling is, gaat nog een stap verder en zou aanvallers in real-time kunnen stoppen.

Effectief?
Volgens beveiligingsexpert Richard Bejtlich is het de vraag hoe effectief de oplossing zal zijn. Zolang tegenstanders het initiatief en de operationele security hebben, zal geen enkele verdediger aanvallen of threat signatures anticiperen, zo merkt hij op. "Toch verwacht ik dat Einstein waarschijnlijk in 2011 op private netwerken verschijnt." Niemand zal er vanwege juridische afspraken over mogen praten, aldus Bejtlich.

Privacy vs. Security
Bedrijven zullen in dit geval zowel privacy als veiligheid nastreven, aangezien die op bedrijfsniveau erg dicht bij elkaar liggen. Privacy gaat volgens Bejtlich om het beschermen van klantgegevens, terwijl security draait om het beschermen van intellectueel eigendom. Privacy is zwaar gereguleerd, waardoor bedrijven moeten erkennen wanneer ze persoonsgegevens zijn verloren om vervolgens alle betrokken in te lichten. De kosten van een incident worden in de eerste plaats gedragen door de individuen van wie de gegevens zijn gestolen.

Security is minder gereguleerd, want als een bedrijf intellectueel eigendom verliest, vaak bedrijfsgeheimen, dan is het zelf het grootse slachtoffer. Verlies van dit soort informatie kan een bedrijf minder competitief maken. "Een bedrijf zal zowel klant- als bedrijfsgegevens proberen te beschermen." Er zijn echter voldoende privacyvoorvechters die de activiteiten van iedereen die iets met een bedrijf doet willen beschermen. "Mijn probleem met dit soort privacyvoorvechters is dat hun wetten, tactieken en wereldbeeld vaak schadelijk voor privacy en security zijn zoals ik dat eerder omschreef", schrijft Bejtlich.

Intellectueel eigendom
Aanvallers weten dat het lastig is om activiteiten te monitoren in landen met strenge privacywetgeving. De beveiligingsexpert wijst in dit geval met name naar Europa. Als gevolg weten aanvallers dat incident response teams meer moeite hebben om een aanval te detecteren. Door privacywetgeving lopen zowel klant- als bedrijfsgegevens meer risico. Wat betreft de inmenging van de overheid in bescherming van bedrijven zal dat voornamelijk om security draaien. "Ik kan dan ook voorstellen dat het Pentagon Amerikaanse bedrijven gaat helpen om hun intellectueel eigendom te beschermen."