Joe Biden göreve geldiğinden beri siber suçları ciddiye alacağını duyurdu. Biden, dünyanın en teknoloji meraklısı seksenlisi değil, daha ziyade, yalnızca saatinde gelişen güvenlik sorunlarına yanıt veriyor – en önemlisi, başkan olarak ilk yılında meydana gelen, giderek daha yıkıcı hale gelen bir dizi siber saldırı. Biden yönetiminin interneti daha güvenli bir yer haline getirme çabalarının en son tekrarı, hükümetin yakın zamanda duyurduğu ulusal siber güvenlik stratejisiPerşembe günü WH web sitesinde yayınlanan . Strateji, hükümetin siber suçluları caydırma çabaları üzerinde büyük etkilere sahip olabilir ve etkili bir şekilde yasalaştırılırsa, teknoloji endüstrisinin birçok alanında büyük bir etkiye sahip olabilir.
Dolu rapor hükümetin yeni stratejisinde 39 sayfa ve binlerce kelime var ama ben onu zorlayarak 1.500 kelimeye indirgemeye çalıştım. İşte önemli çıkarımlardan bazıları.
#1: “Kritik Altyapıyı” Koruma, Diğer Bir deyişle Gerçekten Önemli Şeylerin Hacklenmemesini Sağlamak
Kritik altyapı, siber güvenlikte oldukça büyük bir konudur, bu nedenle, WH siber güvenlik stratejisinin ilk ayağının, bunun için daha geniş korumalar benimsemeyi içermesi mantıklıdır. Strateji, “Kritik altyapımızın ve sağladığı temel hizmetlerin mevcudiyeti ve dayanıklılığı konusunda Amerikan halkına güven vereceğiz” diyor.
Tam olarak neyin “kritik altyapı” olarak nitelendirildiğini merak ediyor olabilirsiniz.
Kısa cevap: bir sürü şey. Bunu büyük insan gruplarına hizmet sağlayan endüstriyel sistemlerle ilgili olarak düşünebilirsiniz: buna elektrik şebekeleri, petrol boru hatları, barajlar, yerel ve bölgesel su kaynakları, nükleer enerji santralleri, ISP’ler ve geniş bant sağlayıcıları ve diğer kurumlar dahildir. geniş bir kitleye hizmet vermektedir. Bu kurumların çoğu, adı verilen web bağlantılı programlar tarafından kontrol edilmektedir. SCADA’lar, denetleyici kontrol ve veri toplama sistemlerinin kısaltması. Bahsi geçen sistemler, endüstriyel sistemlere uzaktan erişim ve kontrol imkanı sağlamak üzere tasarlanmış yazılım programlarıdır. Sorunlu bir şekilde, onlar da olur oldukça hacklenebilir. Bir SCADA sisteminin saldırıya uğramasının en ünlü örneği, Stuxnet olayı, hem ABD hem de İsrail hükümetleri adına çalışan siber operatörlerin, İran’ın nükleer silah programını birbirine bağlayan reaktörlerinden birini kurmak için gelişmiş bir solucan kullandığı. Bununla birlikte, çok daha küçük, daha sıradan hedefler delmeye karşı daha savunmasızdır ve yine de oldukça fazla hasar.
G/O Media komisyon alabilir
Tüm bu kritik şeyleri korumak için, hükümet bir dizi farklı öneride bulundu. girişimler, muhtemelen en dikkate değer hangisi özellikle önemli sektörler ve CI sağlayıcıları için minimum güvenlik gereksinimlerini zorunlu kılmak için yeni federal düzenlemelerin geliştirilmesi. Hükümetin kritik altyapıyı korumaya neden bu kadar niyetli olduğu oldukça açık görünüyor. Bunun gerçekten iyi bir fikir olmasının yanı sıra, Biden yönetimi, fidye yazılımı çetesinin 2021’de olanların tekrarlanmasını açıkça istemiyor. Karanlık taraf saldırıya uğradı Sömürge boru hattı. Güneydoğu’nun büyük bir bölümünde hayati önem taşıyan enerji akışlarını tehdit eden bu saldırı, ABD’nin kritik altyapısına yönelik bugüne kadarki en kötü siber saldırılardan biri olarak kabul edildi ve hükümet için tam olarak kolay bir düzeltme ya da yeni yönetim için iyi bir görünüm değildi.
#2: ABD, Kötü Hackerları Kıçından Tekmelemeye Devam Edecek
ABD hükümetinin genellikle oldukça iyi olduğu bir şey insanların kıçlarını tekmelemek ve son zamanlarda kıç tekmeleyen manzaraları var. eğitimli dijital yeraltı dünyasında yaşayanlar hakkında. Pekala, bu haftaki rapor, öngörülebilir gelecekte Amerika’nın tehdit aktörlerini canını yaktığı yerden vurmaya devam edeceğini vurguluyor.
Biden yönetimi, “kötü niyetli siber aktörleri ABD’nin ulusal güvenliğini veya kamu güvenliğini tehdit etmekten aciz kılmak” için “ulusal gücün tüm araçlarını” devreye soktuğu bir gelecek tasavvur ediyor. Gerçek dünya terimleriyle bunun anlamı, yasa uygulama kaynaklarından yararlanmaktır (örneğin, hükümet projelerinde hacker avlayan siber personel). FBI’lar Ulusal Siber Soruşturma Ortak Görev Gücüve diğeri ajanslar ve gruplar) ve mevcut uluslararası ortaklıklar (yakın zamanda başlatılan karşı fidye yazılımı görev gücü), siber suçluları tekmelemeye devam etmek. Yönetim aynı zamanda önleyici tedbirleri hızlandırmak istediğini de söylüyor. bilgi paylaşımı özel sektör ile devlet arasındaki daha geniş iletişim ve koordinasyon.
Siber suçlularla devam eden bu savaş mantıklı. Biden göreve ilk geldiğinde, fidye yazılımı belası yüksekliğinde. Özellikle 2021 saldırı Colonial boru hattında yaşananlar hem bir uyandırma çağrısı hem de ulusal güvenlik acil durumu olarak kabul edildi. O zamandan beri, Biden hükümeti fidye yazılımı endüstrisine intikamla baskı yapıyor. Bu, yeni Adalet Bakanlığı’nın lansmanının yanı sıra sorunu ele almak için bir dizi görev gücünün ve uluslararası zirvelerin geliştirilmesini de içermektedir. yönergeler fidye yazılım vakalarının soruşturulması ve kovuşturulması için. Aynı zamanda, büyük ölçüde NCIJTF tarafından yönetilen bir dizi kanun uygulama operasyonu, bozmak yeni, gelişmiş bir yazılım da dahil olmak üzere fidye yazılımı ekosisteminin geniş alanları gözetleme faaliyetleri Şubat ayında fiilen etkisiz hale getirilen Hive çetesinin içinde.
Yeni raporda hükümet, bunun gibi şeyler yapmaya devam edeceklerini ve nihai hedeflerinin kelimenin tam anlamıyla “fidye yazılımlarını yenmek” olduğunu bildiriyor. Gerçekten de yönetim, “fidye yazılımlarını artık kârlı hale getirmeyecek kadar sürekli, koordineli ve hedefli kesinti kampanyaları ve diğer çabaları artırmaya kararlı olduğunu” söylüyor. Başka bir deyişle: canlı görünün karanlık ağ salakları, sizin için geliyorlar!
#3: Teknoloji Endüstrisinin Güvenliğe Öncelik Verdiğinden Emin Olmak
Yeni siber stratejinin yapmak istediği başka bir şey de Silikon Vadisi’ndeki insanları pek iyi olmadıkları bir şeyi yapmaya zorlamak: ürünlerini tasarlarken güvenliğe öncelik vermek.
Gerçekten de, şirketlerin bu kadar çok saldırıya uğramasının nedenlerinden biri, çoğu modern yazılımın gerçekten güvenlik düşünülerek bir araya getirilmemesidir. Bunun yerine, geliştiricilerin öncelik listelerinin başında genellikle iki faktör daha bulunur: pazara sürüm süresi ve tüketici deneyimi. Bu arada güvenlik hem zaman alıcı hem de maliyetli olabilir. Bu kuralın istisnaları vardır, ancak genel olarak güvenlik dikkate alınan bir ürünü hızlı bir şekilde piyasaya sürmek ve para kazanmak olan iş önceliklerinin önünde bir engel.
Hükümet bu konuda ne yapmak istiyor? Pekala, Biden yönetiminin teknoloji endüstrisini daha iyi bir iş çıkarmaya teşvik etmek için almak istediğini söylediği birkaç farklı önlem var.
- Yeni güvenlik ürünlerini yönlendirmeye yardımcı olmak ve federal araştırma ve geliştirmeyi güvenlik teknolojilerine yönlendirmek için federal hibe programlarını kullanın. Bu ilginç bir fikir ama kesinlikle kısa vadeli bir çözümden çok uzun vadeli bir yatırım.
- Belge ayrıca, “yazılım ürünleri ve hizmetleri için sorumluluk” oluşturmak için Kongre ve özel sektörle birlikte çalışmak istediğini belirtiyor. Bu baskı, “belirli yüksek riskli senaryolarda yazılım için daha yüksek bakım standartları oluşturmaya” çalışmalıdır. Buradaki fikir, belirli bir büyüklük ve şöhrete sahip şirketlerin ürünleri için daha iyi güvenlik korumaları oluşturmaya veya kendilerini yasal riske açma riskini almaya zorlandığı bir teşvik yapısı oluşturmaktır.
- İşin garibi, strateji aynı zamanda gizlilik korumalarını güvenlik sorunlarına karşı korumanın bir yolu olarak genişletmek istediğini de belirtiyor. Belgede “Yönetim, kişisel verileri toplama, kullanma, aktarma ve sürdürme becerisine ilişkin sağlam ve net sınırları destekliyor” ifadesi yer alıyor. Kısacası: Buradaki düşünce, şirketlerin web kullanıcıları hakkında daha az kişisel veri tutması durumunda, veri ihlalleri için daha az şans olacağıdır. Kulağa ilginç bir fikir gibi geliyor, ancak böyle bir olayın nasıl ve ne zaman gerçekleşebileceği belli değil.
#4: İnternetin Ciklet ve Balya Teli ile Bir Arada Tutulduğunu Kabul Etmek
Yönetimin gözetiminde ortaya çıkan bir diğer büyük siber güvenlik krizi, log4j hatası. Her yerde bulunan bir açık kaynak yazılım kitaplığında ciddi bir uzaktan kod yürütme güvenlik açığı olan log4j bölümü, hükümete durumu daha da netleştirmeye yardımcı oldu. tehlike günümüzün açık kaynaklı yazılım ekosisteminin ve küresel ekonomiye yönelik potansiyel tehditlerinin Hatanın keşfedilmesinden bu yana hükümet, hayati yazılım tedarik zincirleri ve daha geniş dijital ekosistem için daha iyi korumalar sağlamak üzere açık kaynak topluluğu ve diğer internet çıkar gruplarıyla birlikte çalışıyor. Yeni siber strateji, güvenlikteki sistemik eksikliklerin ele alınması gereken bir şey olduğunu söylüyor. Belge yazıyor:
İnternet, geleceğimiz için kritik öneme sahip ancak geçmişinin temel yapısını koruyor. Dijital ekosistemin teknik temellerinin çoğu doğası gereği savunmasızdır. Bu temel üzerine her yeni bir şey inşa ettiğimizde, yeni güvenlik açıkları ekliyoruz ve toplu risk maruziyetimizi artırıyoruz…Sistematik riski azaltmak için böyle bir “temizlik” çabası, bu güvenlik zorluklarından en acil olanın tanımlanmasını, daha fazla geliştirilmesini gerektirir. maruz kaldığımız riskleri azaltmak için etkin güvenlik önlemleri ve kamu ve özel sektör arasında yakın işbirliği…
Başka bir deyişle, hükümet dijital dünyamızın eskilerin dediği gibi bir arada tutulduğunu kabul ediyor.balonlu sakız ve balya teli ile” Bunu düzeltmek için Beyaz Saray, daha güvenli bir ekosistem oluşturmak amacıyla bir dizi farklı alana tonla para yatırmayı planladığını söylüyor. Bunlar arasında…
- “İnternetin temelindeki ve dijital ekosistemdeki sistemik teknik güvenlik açıklarını”, Sınır Ağ Geçidi Protokolü güvenlik açıklarını, şifrelenmemiş Etki Alanı Adı Sistemi isteklerini ve temel web altyapısındaki diğer uzun süredir devam eden güvenlik eksikliklerini azaltmak için özel sektörle ortaklıklar kullanmak.
- “Yeni nesil” siber güvenlik yeteneklerine yönelik “canlandırıcı” araştırma ve geliştirme. Ne tür yetenekler? Strateji, şu anda varsayımsal olan kuantum hesaplama tehdidine karşı koruma sağlayabildiği söylenen kuantum sonrası şifreleme gibi şeyleri adlandırıyor.
- Daha geniş bir siber güvenlik işgücü gelişimini desteklemek. Genellikle sorunlu bir konu olan şirketler ve hükümetler bazen savaş istasyonlarında görev yapacak doğru yeteneği bulmakta zorlanabilirler; güvenlik uzmanlarının işe alınması ve elde tutulması zor olabilir ve şaşırtıcı sayıda şirket hiçbir zaman bir CISO tutmaz. Hükümet, daha geniş işe alımları teşvik etmek amacıyla bir dizi mevcut siber güvenlik iş gücü geliştirme programını hızlandırmak istediğini söylüyor.
#5: Dünyanın Geri Kalanının Kötü Hackerları Kıçından Tekmeleme Konusunda Aynı Sayfada Olduğundan Emin Olun
Son olarak, hükümet, iş kötü adamların peşine düşmeye geldiğinde herkesin aynı sayfada olduğundan emin olmak istiyor. Beyaz Saray, “ortak hazırlık, yanıt ve maliyet belirleme yoluyla dijital ekosistemimize yönelik tehditlere karşı koymak için benzer düşünen ülkeler arasındaki uluslararası koalisyonlardan ve ortaklıklardan” yararlanmak istediğini söylüyor. Genel olarak, hükümet bunu zaten yapıyor ve bazı iyi sonuçlar doğurmuş gibi görünüyor.
Fidye yazılımı belasıyla ilgili uluslararası bir zirve, ülkeleri siber kötü adamlarla savaşma ihtiyacı etrafında bir araya getirmeye yardımcı oldu ve Ukrayna’daki savaştan önce Biden, fidye yazılımı çetelerinin bozulması ve kovuşturulması konusunda genişletilmiş işbirliğini görüşmek üzere Rusya Devlet Başkanı Vladimir Putin ile bir araya geldi. çoğunun merkezinin Rusya’da olduğuna inanılıyor. Daha fazla uluslararası zirve ve ortaklık yardımcı olacak mı? Kesinlikle acıtamaz.