Bidenin kansallisen kyberturvallisuusstrategian purkaminen
Sisällysluettelo:
Kyberturvallisuuden panokset ovat korkeammat kuin koskaan. Yhteiskunta on niin syvästi yhteydessä ja riippuvainen digitaalitekniikasta, että riittävän ankara hyökkäys voi lamauttaa kriittiset toiminnot. Yhdysvaltain hallitus on tietoinen uhkasta ja valmistelee lupaavasti aggressiivisin kyberturvallisuusstrategia-asiakirja koskaan. Sitä kutsutaan kansalliseksi kyberturvallisuusstrategiaksi (NCS), ja se on vielä piilossa tätä kirjoitettaessa, mutta ne jotka ovat sen nähneet lupaa, että se nostaa Yhdysvaltain kyberturvallisuusvalmiuksia. Tässä on mitä tiedämme ja mitä odottaa.
Pehmeän kyberturvallisuuspolitiikan historia
Nykyiseen hallintoon saakka Valkoinen talo otti suhteellisen kevyen lähestymistavan kriittisen kansallisen infrastruktuurin (CNI) turvaamiseen. Tämä yhteiskunnan toiminnan kannalta elintärkeäksi pidetty infrastruktuuriluokka on kattava, mm 16 jaksoa aina ruoasta rahoitukseen.
Aiemmat pyrkimykset CNI:n suojelemiseksi ovat olleet paljolti tämän talouden segmentin kaltaisia: hajanaisia ja epäjohdonmukaisia. Aiemmat hallinnot ovat julkaisseet vapaaehtoisia kyberturvallisuusohjeita CNI-sektoreille, jolloin sääntelijät voivat kehittää ja valvoa tehokkaampia kyberturvallisuuden valvontaa.
Jotkut näistä tarkastuksista ovat onnistuneet paremmin kuin toiset, ja ne on usein määrätty valtion tasolla. Esimerkiksi New York Department of Financial Services (NYDFS) julkaisi Part 500 -asetuksen, joka tuli voimaan vuonna 2017 ja otti aggressiivisen lähestymistavan kyberturvallisuuden valvontaan. SEC on myös tehostanut kyberturvallisuuden valvontaa.
Muut alat ovat kuitenkin olleet vähemmän aggressiivisia. Kuntien vesilaitoksilta puuttuu usein kyberturvallisuuden asiantuntemusta. Muilla CNI:n osana pidetyillä yrityksillä on usein kilpailevia prioriteetteja, kuten neljännesvuosittaisen taloudellisen suorituskyvyn ylläpitäminen.
Jo ennen toukokuussa 2021 Colonial Pipelinea vastaan tapahtunutta kiristysohjelmahyökkäystä, joka sai bensiinin hinnat nousemaan jyrkästi Itä-Yhdysvalloissa, Bidenin hallinto oli jo siirtynyt kohti yhtenäisempää, käytännönläheisempää lähestymistapaa CNI-turvallisuuteen. Huhtikuussa 2021 se aloitti sektorikohtaisen tarkastelun ja CNI:n koventamisen 100 päivän suunnitelmalla turvallisuuden lisäämiseksi sähkölaitokset.
Saman vuoden heinäkuussa presidentti jatkoi tätä allekirjoittamalla kansallisen turvallisuusmuistion kriittisten infrastruktuurien valvontajärjestelmien kyberturvallisuuden parantamisesta ja lupasi käsitellä kyberturvallisuuden suojauksia useilla CNI-aloilla. Hallitus liikkeeseen merkittävät kyberturvallisuusvaatimukset öljy- ja kaasuputkien operaattoreille touko- ja heinäkuussa, ilmoitti vesialan toimintasuunnitelman tammikuussa 2022, ja se kohdistui kemiallinen eri suunnitelmalla viime lokakuussa.
Nämä toimet olivat aggressiivisempia kuin aiempien hallintojen yritykset. Se määräsi pakollisia toimenpiteitä, kuten vaatimuksen varautumissuunnitelmista. Toimeenpanoelin työskenteli myös kongressin kanssa Cyber Incident Reporting for Critical Infrastructure Act, joka lopulta pakottaa 72 tunnin kyberhyökkäysilmoitusikkunan CNI-operaattoreille.
Strategia-asiakirjan nähneet uskovat, että se yhtenäistää tämän lähestymistavan ja ryhtyy lisätoimiin pakottaakseen CNI-alojen yritykset koventamaan puolustustaan. Asiakirjassa vaaditaan vastuun siirtämistä yrityksille, jotka eivät toteuta asianmukaisia toimenpiteitä.
Ei enää herra mukava kaveri
Strategia-asiakirja ei vain hio puolustustoimia; se myös kääntää huomionsa ulospäin. Se sisältää nimenomaisia toimenpiteitä haitallisten toimijoiden kohdistamiseksi, sanovat asian tuntevat.
Yhdysvaltain hallituksesta on tullut yhä räikeämpää kyberavaruuden uhkatoimijoiden kohdistamisessa. Obaman hallinto piti tiukasti ohjat hyökkäävissä kybertoiminnoissa vaatien nimenomaisen presidentin luvan seurata Yhdysvaltojen vihollisia verkossa. Trumpin hallinto otti jalkansa jarrulta vuonna 2018, antaneen Kansallisen turvallisuuden presidentin muistio nro 13, joka antoi Pentagonille enemmän autonomiaa hyökkäävien kyberoperaatioiden käynnistämisessä.
Aluksi Bidenin Valkoinen talo tutki, pitäisikö sen kumota jotkin Trumpin toimenpiteistä. Raportit kuitenkin viittaavat siihen, että kansallinen kyberturvallisuusstrategia vie heidät askeleen pidemmälle.
"Tavoitteemme on tehdä pahantahtoisista toimijoista kyvyttömiä käynnistämään jatkuvia kyberkäyttöisiä kampanjoita, jotka uhkaisivat Yhdysvaltojen kansallista tai yleistä turvallisuutta", asiakirjan kerrotaan viiden sivun osiossa nimeltä "Häiristä ja purka uhkatoimintaa". Siinä sanotaan myös, että FBI:n kansallinen kybertutkimuksen yhteinen työryhmä työskentelee muiden virastojen kanssa häiritäkseen hyökkääjien verkkoja ja lopulta tuhotakseen ne.
Toteutetaan mitä on tulossa
Hallituksen kerrotaan myös värväävän yksityisiä yrityksiä kumppaneiksi hyökkääjien torjuntaan jakaen niille tietoja hyökkäysmalleista. Nämä kumppanuudet sekä täytäntöönpanotoimenpiteet, joita todennäköisesti näemme NCS:ssä, herättävät kysymyksen: kuinka paljon toimeenpanovalta pystyy valvomaan tätä?
Hallituksen uraauurtavin asiakirja ennen tätä, toukokuuta 2021 Hallituksen päätös kansakunnan kyberturvallisuuden parantamisesta, oli laajuudeltaan rajoitetumpi, koska toimeenpanomääräykset koskevat vain liittovaltion virastoja. Kaikki yksityiseen sektoriin kohdistetut paineet olivat epäsuoria, koska liittovaltion hankintapolitiikoissa asetettiin kyberturvallisuusvalvonta, joka edellyttäisi toimittajien noudattamista.
Uusi strategia-asiakirja koskee valtavaa määrää yksityisiä yrityksiä, jotka ovat perinteisesti olleet varovaisia hallituksen kyberturvallisuusmääräysten suhteen. Esimerkiksi tiedon jakaminen on ollut kiistanalainen kohta aiemmin. Yritykset ovat huolissaan oikeudellisesta vastuusta, jos ne paljastavat hyökkäysten laajuuden ja laajuuden hallitukselle.
Joitakin CNI:hen kuuluvia sektoreita saattaa olla laillisesti vaikea Valkoisen talon säännellä. Se tarvitsee virastojen apua ja syvästi jakautunutta, toimimatonta kongressia, joka osoittautuu ongelmalliseksi järkevien lakien läpiviennissä. Tiedämme enemmän, kun asiakirja putoaa, minkä pitäisi tapahtua hyvin pian.
