Egy amerikai tudományos szervezet szerint olyan törvényekre van szükség, melyek lehetővé tennék a védelmi hibákért felelősek megbüntetétést. Ezen a téren ugyanis jelenleg katasztrófális a helyzet.
A National Academy of Sciences (NAS) komputer és telekommunikációs szekciója által közzétett tervezet szerint “A /kongresszusi/ döntéshozóknak foglalkozniuk kellene azzal, hogy milyen jogi eszközökkel lehet a piacot a biztonsági problémákra való helyes reagálásra ösztönözni”, és “a lehetséges lépések között szerepel az is, hogy növeljük a szoftver- és rendszergyártók, valamint a rendszergazdák feleősségét a rendszerek feltörhetőségével kapcsolatban.” A kötelező betörés-jelentés és a szigorúbb feleősségre vonás gondolata természetesen nem új: ezeket a biztonságtechnikai szakértők már évekkel ezelőtt felvetették. Most azonban az eddig perifériálisnak tekintett elképzelések a NAS révén bekerült a főáramlatba (ebben persze az is szerepet játszik, hogy az utóbbi időben sokan tették fel a kérdést, hogy mi történt volna, ha a szeptember 11-i terrortámadást egy hatékony cíybertámadással – például a légi irányító rendszer megbénításával – összekapcsolva hajtják végre). Másfelől viszont az utóbbi néhány évben éppen ellentétes volt a tendencia. 1999-ben például a Kongresszus egy, a a Y2K probléma miatti felelősségre vonhatóságot csökkentő törvényt fogadott el. A cégek garanciát kapnak rá, hogy ha a kormányt tájékoztatják biztonsági hibáikról, akkor azok nem fognak nyilvánosságra kerülni.
A számítástechnikai ipar természetesen ellene van a NAS terveinek, és amellett érvel, hogy nehéz lenne megfelelő biztonsági standardot kidolgozni, mondja a biztonságtechnikával foglalkozó Predictive Systems Inc. (Reston, Va.) cyberjogi szakértője, Mark Rasch. Hiszen szerinte a NAS javaslata alapján fel lehetne tenni például azt a meglehetősen költői kérdést is, hogy normák vonatkozzanak a Solitaire nevű játékra. Ugyanekkor “Miért büntetnénk valakit egy nem kellőképpen biztonságos termék előállításáért, amikor a megbízhatóakra nincs igénye a vásárlóknak? Egy olyan nemzeti törvényt akarunk, amely egy bizonyos biztonsági szintet garantál vagy ír elő minden számítógép számára?” Egy fejlettebb piacon Rasch szerint nem lenne szükség effajta, kívülről jövő szabályozásra: a légzsák és a biztonsági öv esetében sem az volt a kérdés, hogy Detroit akarja-e, hanem az, hogy az autósok mit gondolnak. A NAS szerint azonban inkább az számít, hogy jelenleg a vezető cégek sem veszik eléggé komolyan a biztonsági kérdéseket, és ezért a jövőben a biztonságtechnikai szakembereknek több pénzt és több hatalmat kell adni, hogy megvédhessék a hálózatot a terroristáktól és bűnözőktől (elsősorban több ellenőrzésre; jobb autentikációs és monitorozási rendszerre lenne szükség). Emellett minden, számítógéppel dolgozó alkalmazott megfelelő biztonságtechnikai képzést kell kapnia, és minden pc-n ott kell lennie a védekezéshez szükséges eszközöknek.
A kormánynak pedig nagyobb gondot kell fordítania számítógépes biztonsággal kapcsolatos (olykor igencsak siralmas) nyilvántartására; illetve több, ezzel a témakörrel kapcsolatos kutatás kell finanszíroznia. A piac ugyanis nem engedhetné meg magának, hogy ne tegyen eleget az új követelménykenek, ha az üzleti élet rendelkezne a szükséges eszközökkel.
A szakértők arra is rámutatnak, hogy a számítógépes hálózatokba jelenleg lényegesen könnyebb betörni, mint amit a jelenelegi védelmi technológiák indokolttá tennének, amennyiben a kritikus pontokon levő rendszerek működtetői (a system operátorok) és a felhasználók is megtennék a szükséges lépéseket. “Sokkal biztonságosabb lenne a számítástechnika, ha mindenki alkalmazná a már rendelkezésre álló technológiákat”, mondja Herbert Lin (Computer Science and Telecommunications Board). Jelenleg például a jelszó a legelterjedtebb eszköz a számítógépes felhasználók azonosítására – noha mindenki tudja, hogy ez egyáltalán nem biztonságos módszer. Egy hardver token vagy egy smart card sokkal biztonságosabb lenne egy személyi azonosító számmal vagy biometrikus azonosítással együtt. De az is fontos lenne, hogy a rendszereket a biztonsági szolgáltatásokat bekapcsolva szállítsák le, és a rendszergazdának külön kelljen hatástalanítania ezeket, amennyiben valamiért nincsen rá szükségük. Lin arra is rámutat, hogy szervezete már egy évtizeddel ezelőtt ugyanilyen ajánlásokat tett: “Az a tény, hogy ezek az ajánlások 10 év alatt sem avultak el /vagyis az, hogy nem oldották meg őket/, azt mutatja, hogy tényleg komoly problémák vannak strukturális és organizációs szinten”, de a döntéshozók eddig nem igazán voltak hajlandóak foglalkozni vele. A becslések szerint 2001-ben az amerikai cégek 12,3 milliárd dollárt költöttek a víruskárok helyreállítására, és számítani lehet rá, hogy 2002-ben még rosszabb lesz a helyzet.
