Yhdysvaltain kyberturvallisuusstrategia parantaa hyökkääjiä vastaan
Sisällysluettelo:
Pian sen jälkeen, kun julkaisimme esikatselu Yhdysvaltain kansallisen kyberturvallisuusstrategian (NCS) mukaisesti hallitus julkisti lopullisen asiakirjan. Se sisälsi voimakkaampaa kielenkäyttöä kuin koskaan, sillä se kehotti yrityksiä kaikkialla Yhdysvalloissa tukemaan kyberturvallisuuttaan ja osoitti myös oivaltavaa ajattelua, joka on suunniteltu ratkaisemaan joitain pitkäaikaisia kyberturvallisuusongelmia kotona ja ulkomailla.
Keskity kriittiseen infrastruktuuriin
Strategia käsittelee turvallisuushaasteita viidessä pilarissa, joista ensimmäinen on kriittisen infrastruktuurin puolustaminen. Tähän haasteeseen tarvitaan porkkana ja tikku -lähestymistapa. Toisaalta se kannattaa tiukempaa sääntelyä, joka tekee yrityksistä enemmän vastuussa kyberturvallisuudesta. Siinä kuitenkin tunnustetaan, että joillakin aloilla on aliresurssit muihin verrattuna, ja kehottaa sääntelyviranomaisia ottamaan huomioon käytettävissä olevien resurssien tason uusia kyberturvallisuussääntöjä laatiessaan.
Asiakirja yhdistää tämän sääntelykepin hyvien pitkän aikavälin kyberturvallisuuspäätösten kannustimiin. Nämä kannustimet tulevat mekanismeista, mukaan lukien koronmuodostus ja verorakenteet, se sanoo.
Teknisten myyjien ja operaattoreiden pitäminen vastuussa
Toinen NCS:n pilari, markkinavoimien muokkaaminen kyberturvallisuuden tukemiseksi, ennustaa myös painopisteen muutosta. Se siirtää vastuun ekosysteemin haavoittuvimmista toimijoista (teknologian käyttäjistä) teknologiaa toimittaville myyjille ja operaattoreille. Jälkimmäisen pitäminen vastuullisempana on strategian perusperiaate.
Näihin operaattoreihin kuuluu pilvipalveluntarjoajia (CSP), jotka ovat yhä tärkeämpiä teknologiaekosysteemissä. Samalla viikolla NCS luopui, vt. kansallinen kyberjohtaja Kemba Walden nimeltään pilvi "liian suuri epäonnistuakseen". Pilvipalvelut ovat myös tarpeeksi paikallisia, jotta hyökkääjät voivat hyödyntää niitä. Ulkomaiset vastustajat käyttävät usein infrastruktuuriaan hyökkäyksiin, mikä vaikeuttaa geoblokkausta ja muita suojatoimenpiteitä.
Tätä silmällä pitäen NCS kehottaa CSP:itä ottamaan enemmän vastuuta järjestelmiensä kohdistuvien riskien arvioinnissa ja vähentämisessä. Se lainaa Executive Order 13984, "Lisätoimien toteuttaminen kansallisen hätätilanteen ratkaisemiseksi merkittävien haitallisten kybertoimintojen osalta". Tämä Trumpin aikakauden asiakirja vaati parempaa asiakkaiden tunnistamista CSP:n keskuudessa, mutta sitä ei ole pantu täytäntöön - tähän asti.
Tämä uusi vastuullisuuden painopiste ulottuu niihin, jotka käsittelevät tietoja ja luovat ohjelmistoja sen hallintaan. Valkoinen talo haluaa lainsäädäntöä, joka "asettaa kansalliset vaatimukset henkilötietojen suojaamiseksi NISTin kehittämien standardien ja ohjeiden mukaisesti". Tämä on tähän mennessä selkein osoitus halusta saada vahva liittovaltion tietosuoja- ja tietoturvalainsäädäntö, joka suojelee kuluttajia ennemmin kuin osavaltiotason lakien tilkkutäkki.
NCS vaatii myös ohjelmistotoimittajia koskevaa lainsäädäntöä, joka sen mukaan välttelee lisenssisopimuksissa olevaa vastuuta turvattomista ohjelmistoista. Nämä lait pakottaisivat vastuun ohjelmistotoimittajilta, jotka eivät noudata NISTin kaltaisten ohjelmistojen tietoturvastandardeja. Safe harbor -sopimus olisi kuitenkin olemassa niille, jotka tekevät niin.
Hyökkäykseen menossa
Kotimaisten verkkojen ja kuluttajien puolustaminen on yksi strategian osa. Toinen pilari, Disrupt and Dismantle Threat Actors, suosittelee enemmän aggressiivisuutta hyökkääjien järjestelmien kaatamisessa.
Tämä lähestymistapa kohdistuu koko rikolliseen ekosysteemiin, ei vain hyökkääjien bottiverkkoihin. Hallitus vastustaa kiristysohjelmien hyökkääjiä yrittämällä tehdä heidän laittomasta liiketoiminnastaan vähemmän kannattavaa. Tämä tarkoittaa, että jatketaan kohdistamista kryptovaluuttapörsseihin, joissa ne esimerkiksi nostavat nostoja. Valtiovarainministeriö on jo hyväksynyt useita tällaisia järjestelmiä, joten tämä kiteyttää ja kaksinkertaistaa olemassa olevan trendin, kuten monet muut strategian osat.
Armeija tulee olemaan merkittävämpi osa tässä hyökkääjien ekosysteemejä vastaan, ja se luo uuden strategian tehdäkseen tiiviimpää yhteistyötä siviilivirastojen kanssa haitallisten toimijoiden kohdistamisessa. Yksityisillä yrityksillä on myös tärkeä rooli. Hallitus on aiemmin työskennellyt Microsoftin kaltaisten organisaatioiden kanssa tuhotakseen haitallisia verkkoja. Silti se nostaa nyt antea ja värvää yrityksiä avoimesti hyökkääjien torjuntaan. Se neuvoo heitä muodostamaan "ketteriä, väliaikaisia soluja" kohdennettuja operaatioita varten, jotka työskentelevät useiden voittoa tavoittelemattomien kyberturvallisuuteen keskittyvien keskusorganisaatioiden kautta, jotka edustavat rajapintaa keskusliittojen kanssa.
Kädet valtameren poikki
Osa tästä hyökkäävästä strategiasta sisältää kansainvälistä yhteistyötä, koska niin monet pahantahtoiset toimijat ovat ulkomailla. Asiakirjassa omistetaan kokonainen pilari tälle strategialle, joka on käynnissä. Valkoinen talo jo muodostivat Counter-Ransomware Initiative (CRI) -hanke kiristysohjelmien torjuntaan lokakuussa 2021.
Ongelmana on, että Venäjä, joka on kiristyshaittaohjelmien paratiisi, ei ole tämän aloitteen jäsen. Se on yksi maa, Kiinan, Pohjois-Korean ja Iranin ohella, jota strategia kutsuu merentakaiseksi uhkaksi. Vastustaakseen näitä vihollisia kyberavaruudessa NCS lupaa käyttää kansainvälistä diplomaattista painostusta ja työskentelee "liittolaisten ja kumppaneiden kanssa yhdistääkseen tuomitsevat lausunnot merkityksellisten seurausten määräämiseen".
Pidempiaikainen ajattelu
Sen sijaan, että NCS reagoisi kyberuhkiin, se sisältää jonkin verran pidemmän aikavälin ajattelua. Yksi esimerkki on keskustelu mahdollisesta kybervakuutuksesta, joka kattaa sellaisen katastrofaalisen kybertapahtuman, jonka Maailman talousfoorumi sanoo on tulossa. Tämä on reaktio vakuutuksenantajien ja asiakkaiden välisiin kasvaviin jännitteisiin kybertapahtumien kustannusten nousun vuoksi.
Muut pitkän aikavälin toimet kuuluvat erillisen pilarin alle, nimeltään Invest in a Resilient Future. Näitä ovat uusi kansallinen kybertyövoima- ja koulutusstrategia, joka kompensoi kyberturvallisuustaitojen puutetta Yhdysvalloissa, ja aloite kehittää parempia digitaalisen identiteetin ratkaisuja nykyisen identiteettivarkauksien pandemiaa vastaan. Tämä pilari vaatii myös digitaalisten toimitusketjujen turvaamista ja ajattelua eteenpäin kvanttien jälkeiseen maailmaan, jossa vaaditaan ratkaisuja, jotka voivat yhdistää dataa, kun kvanttitietokoneet uhkaavat olemassa olevia salausmenetelmiä.
Tämä strategia-asiakirja on kiitettävä yritys ajatella älykkäästi tämän päivän ongelmia ja samalla pitää silmällä huomista. Ongelma on, kuten aina, toteutus. Toimeenpanovalta voi tehdä vain niin paljon yksin näiden tavoitteiden toteuttamiseksi. NCS myöntää, että se luottaa lainsäätäjään monien näiden muutosten läpiviemiseksi.
