Projektet har en lista på tio idéer för att stoppa den tågkrasch i slowmotion som pågår omkring oss inom cybersäkerhet – det känns som om det inte går en vecka utan ett nytt stort cyberhaveri.

Något är fundamentalt fel i hur cybersäkerhet hanteras idag. Inte ens de förslag till nytänkade som förs fram går tillräckligt långt. Systemägare får exempelvis veta att de borde korta ner tiden från rapport till fix – men det räcker bevisligen inte eftersom attacker ofta kommer innan sårbarheten ens rapporterats. 

Snittiden mellan sårbarhet och utnyttjande har sjunkit från bokstavligen ett par år till ett par dagar sedan 2017. Varningen för en ny sårbarhet kommer idag försent tre gånger av fyra.

Bland de tio punkterna i uppropet finns ett krav på mer juridiskt ansvar till leverantören.

– Under de senaste 150 åren har ingen industri förbättrat sin säkerhet eller skyddat konsumenterna utan att ha tvingats av staten. Luftfart, fordon, läkemedel, livsmedel — alla har krävt lagstiftning, säger den kände säkerhetsdebattören Bruce Schneier, en av undertecknarna.

Uppropet har spännande idéer om arkitektur: om din sajt blir hackad: släng bort den, och starta en ny instans. Det är en princip som Google redan använder.

Ett annat önskemål är fler öppna verktyg för försvararna. Där ligger angriparna ligger före och samarbetar redan.

I den utsträckning läget fortfarande kunde bli värre är den nya offensiva användningen AI kanske spiken i kistan för klassiska cyberstrategier. Det ligger nu inom horisonten att vem som helst kan be AI hitta en sårbarhet och orkestrera en attack. Också inom AI anser uppropet att försvaret ligger efter. 

Namnet Zero Day Clock syftar på tiden mellan det att en bugg upptäcks till dess att den utnyttjas. Det har alltid förekommit nolldagsattacker. Det kusliga är att den genomsnittliga tiden konvergerar mot noll.

Undertecknarna är både tyska och amerikanska namn. Här finns bland annat en tidigare chef för USA:s cybersäkerhetsmyndighet och ordföranden för anrika Chaos Computer Club.