Trumpin hallinnon muutoksen arviointi Yhdysvaltojen kyberturvallisuuspolitiikassa

Trumpin hallinnon Yhdysvaltojen kyberturvallisuuspolitiikan muutoksen arviointi

Danny Bradburyn kirjoittama • 13 marraskuu 2025

Viimeaikaiset hallinnon toimet ja virastojen uudelleenjärjestelyt merkitsevät merkittävää muutosta liittovaltion kyberturvallisuusstrategiassa, mikä herättää kysymyksiä kansallisesta kriisinsietokyvystä ja yksityisen sektorin valmiudesta.

Ei ole usein, että hallitus tarkoituksella purkaisi edeltäjänsä aikaansaamia kohtuullisia edistysaskeleita, mutta Trumpin toimeenpanovalta on täynnä yllätyksiä. Se ei näytä vain keskeyttäneen toimia useilla kyberturvallisuuden osa-alueilla juuri silloin, kun sen pitäisi painaa kaasua; joissakin tapauksissa se liikkuu mahdollisimman nopeasti taaksepäin.

Missään tämä ei ole selvempää kuin uusimmassa raportti Cyber Solarium Commissionilta (CSC) – tai pikemminkin CSC 2.0:lta. Komissio perustettiin alun perin osana vuoden 2019 puolustusvaltuutuslakia kehittämään strateginen lähestymistapa Yhdysvaltoihin kohdistuvien merkittävien kyberturvallisuushyökkäysten torjuntaan. Sen toiminnan lakkauttamisen jälkeen vuonna 2021 se perustettiin uudelleen voittoa tavoittelemattomana järjestönä Foundation for the Defense of Democracies (FDD) -säätiön Cyber and Technology Innovations (CCTI) -keskukseen.

CSC:n viides vuosiraportti osoittaa, että Yhdysvallat on merkittävästi taantunut kyberturvallisuudessaan. Viime vuoden raportin mukaan se oli pannut täytäntöön 48 % CSC:n kyberturvallisuussuosituksista. Tänä vuonna toteutusaste on laskenut 48 prosentista 35 prosenttiin. Lähes neljännes vuonna 2024 täysin täytäntöönpannuista suosituksista menetti statuksensa nykyisen hallinnon tekemien laajojen muutosten jälkeen.

Yksi viidestä alueesta, joihin raportissa suositellaan maan puuttumista päästäkseen takaisin raiteilleen, on CISAn työvoimakriisi. Trumpin hallinto leikkasi CISAn työvoimaa kolmanneksella aiemmin tänä vuonna, 3 300:sta 2 200:aan.

Nopea liikkuminen ja asioiden rikkominen tarkoituksella

Trumpin hallinto on tehnyt muutoksia niin nopeasti, että on vaikea pysyä perässä, mutta tässä on joitakin keskeisiä. Presidentin virkaanastujaistensa yhteydessä hänen tiiminsä irtisanoi kaikki jäsenyydet DHS:n neuvoa-antavissa komiteoissa, mikä käytännössä lopetti kyberturvallisuusarviointilautakunnan, joka oli tutkinut suolataifuuni-iskuja.

Sitten Trump, potkut Yhdysvaltain kyberkomennon johtaja Timothy D. Haugh huhtikuussa äärioikeistolaisen aktivistin Laura Loomerin painostuksen jälkeen.

Vielä suurempia muutoksia tapahtui kesäkuussa Trumpin toimeenpanomääräyksen ”Valittujen toimien ylläpitäminen maan kyberturvallisuuden vahvistamiseksi ja toimeenpanomääräysten 13694 ja 14144 muuttaminen” myötä, jolla peruttiin monia Bidenin aikakauden kyberturvallisuustoimenpiteitä.

Tämä lakialoite karsi tekoälyn tietoturvakäytäntöjä, poisti liittovaltion ohjelmistotoimittajille asetetut turvallisen ohjelmiston tietoturvan varmennusvaatimukset (mukaan lukien ohjelmistojen osaluettelot) ja esti digitaalisen identiteetin käyttöönoton liittovaltion etuuksissa. Jälkimmäistä lakialoite perusteli väittämällä, että se "vaarasi laajalle levinneen väärinkäytön mahdollistamalla laittomien maahanmuuttajien pääsyn julkisiin etuuksiin väärin perustein".

Myös kyberdiplomatia (Bidenin hallinnon keskeinen strateginen pilari) kärsi vaikeuksia. Heinäkuussa ulkoministeriö käytännössä lakkautti kolme vuotta vanhan kyberdiplomatiatoimiston (CDP), irtisanoi avainhenkilöitä, mukaan lukien viisi kahdeksasta kahdenvälisten ja alueellisten asioiden parissa työskentelevästä henkilöstä, ja siirsi sen aktiivisen johtajan. Se purkaa CDP:n ja siirtää osia siitä viraston eri siipiin. mainitut raportitUusi hallitus keskeytti myös tammikuussa 2025 annetun FCC:n IoT-turvallisuuslain.

Trump on leikannut erityisen rajusti vaalihallinnon ja disinformaation vastaisten aloitteiden esivaalien rahoitusta. Se leikkasi vaali-infrastruktuurin tiedonjakoanalyysikeskuksen (EI-ISAC) rahoitusta, ja "Sananvapauden palauttaminen ja liittovaltion sensuurin lopettaminen" -niminen presidentin asetus leikkasi ulkomaisen haitallisen vaikutuksen tutkimuksen rahoitusta.

Hallinto sulki myös FBI:n ulkomaisen vaikuttamisen työryhmän ja amerikkalaisvastaisten tiedotuskampanjoiden torjuntaan keskittyneen Global Engagement Centerin. Se ei enää salli osavaltioiden käyttää varoja palveluiden ostamiseen Multi-State Information Sharing and Analysis Centeriltä ja on leikannut kyseisen aloitteen rahoitusta sillä perusteella, että se sensuroi sananvapautta.

Myös oikeusministeri Pam Bondi asetti ulkomaisten agenttien rekisteröintilain (FARA) täytäntöönpanon vähemmän tärkeäksi ja lakkautti oikeusministeriön ulkomaisen vaikuttamisen työryhmän ja kansallisen turvallisuuden osaston yritysvalvontayksikön. Tämä tasoittaa tietä ulkomaisille hakkerointi- ja vuotooperaatioille ja trollifarmeille. Ja oikeusministeriö hylätty KleptoCapture-projekti, Bidenin aikakauden aloite venäläisten oligarkkien omaisuuden takavarikoimiseksi, jota voitaisiin käyttää ulkomaisten vaikutuskampanjoiden rahoittamiseen.

Nämä toimenpiteet ovat heikentäneet hallituksen kykyä auttaa yksityisen sektorin organisaatioita silloin, kun ne sitä eniten tarvitsevat. Checkpoint Software näki huhtikuussa... ennätys 47 % kyberhyökkäysten määrässä vuoden 2025 ensimmäisellä neljänneksellä, mikä on keskimäärin 1 1,925 viikoittaista hyökkäystä organisaatiota kohden, ja kiristysohjelmahyökkäysten määrä on kasvanut 126 %. CrowdStrike kirjataan jopa 300 prosentin kiinalaisten hyökkäysten lisääntyminen kohdennettuihin teollisuudenaloihin.

ISO 27001 -standardi resilienssin lähtökohtana

Resilienssin suunnittelu on erityisen tärkeää, kun otetaan huomioon hallituksen täyskäänne joissakin kyberturvallisuuspolitiikoissa. Hallituksen ohjeistuksen puuttuminen tekee entistä tärkeämmäksi, että yritykset noudattavat hyväksyttyjä normeja.

Joissakin tapauksissa se tarkoittaa kumottujen tiukempien hallituksen määräysten hengen noudattamista. Standardit, kuten ISO 27001 ovat myös hyödyllisiä apuvälineitä yrityksille, jotka haluavat vankan pohjan hyville tietoturvakäytännöille. Erityisesti ISO 27001:2022 määrittelee Liite A 5.29 – Tietoturva häiriöiden aikana, tietoturvan varmistamiseksi häiriöiden aikana.

Jotta tämä toimisi, yritysjohtajien on kuitenkin sitouduttava ja kannettava vastuuta rakenteellisista tietoturvatoimenpiteistä. Heidän tehtävänsä on varmistaa asianmukainen rakenne häiriöiden varalta, niihin reagoimiseksi ja niiden lieventämiseksi. Vielä ei ehkä ole sopivaa sanoa, että "kukaan ei tule pelastamaan sinua", mutta jos koskaan olisi parempi aika nostaa nostosilta, se olisi nyt.

Danny Bradbury

Danny Bradbury on ollut teknologiaan erikoistunut printtitoimittaja vuodesta 1989 ja freelance-kirjoittaja vuodesta 1994. Hän on kirjoittanut kansallisiin julkaisuihin molemmin puolin Atlanttia ja on voittanut palkintoja tutkivasta kyberturvallisuusjournalismista.

Lue lisää Danny Bradburyn kirjoittamasta

tietoverkkoturvallisuus 15 tammikuu 2026

kehäsuojauksesta identiteettiin turvabannerina

Kehäsuojauksesta identiteettiin turvallisuuden näkökulmasta

Nykyään ei voi vilkaistakaan mihinkään tietoturvatapahtumaan näkemättä ilmausta "nollaluottamus". Se on muotisana, kyllä...

Danny Bradbury

tietoverkkoturvallisuus 18 joulukuu 2025

Kuinka navigoida Yhdysvaltojen tekoälyn vaatimustenmukaisuussokkelossa

Kuinka navigoida Yhdysvaltojen tekoälyn vaatimustenmukaisuuden sokkelossa

Sääntelyn osalta termi "Yhdysvallat" on oksimoroni. Osavaltioiden lait eivät ole lainkaan yhtenäisiä, ja jokainen lainkäyttöalue on perinteisesti...

Danny Bradbury

tietoverkkoturvallisuus 20 marraskuu 2025

Mitä myyntivoiman tietomurrot opettavat meille jaetusta vastuusta banneri

Mitä Salesforce-tietomurrot opettavat meille jaetusta vastuusta

Vuosi 2025 ei ole ollut hyvä Salesforcen asiakkaille. Epäilyttävä rikollisryhmä toteutti useita hyökkäyksiä asiakkaitaan vastaan, jotka lopulta vaikuttivat...

Danny Bradbury