Az amerikai kormányzat új kiberbiztonsági stratégiát tett közzé a szövetségi ügynökségek számára, amely már az úgynevezett zero trust (nulla bizalom) biztonsági modell felé mutat – vagyis abból indul ki, hogy a rendszerek kompromittálódása elkerülhetetlen, így azok egyetlen eleme sem tekinthető feltétel nélkül megbízhatónak. A közel 30 oldalas terv több tucat olyan intézkedést tartalmaz, amelyeket az érintett szervezeteknek kivétel nélkül végre kell hajtaniuk a következő két évben, az elvárható szintre növelve rendszereik biztonságát és csökkentve a biztonsági incidensek kockázatát.
Ahogy a beszámolók fogalmaznak, az amerikaiak még mindig lábadoznak a SolarWinds-botrány óta, amelynek következtében orosz hekkerek hónapokig tébláboltak zavartalanul az Egyesült Államok bizonyos kormányzati rendszerein belül. A jelek szerint Joe Biden is ekkor elégelte meg, hogy futószalagon érkeznek a nagy horderejű kibertámadásokról szóló hírek, és egy elnöki rendeletben jelezte, hogy milyen változásokat tart szükségesnek az ország védelmi képességeinek javítására.
A most nyilvánosságra hozott, új stratégia értelmében kormányzati szerveknek a 2024-es pénzügyi év végéig kell implementálniuk a tervben leírt számos intézkedést, köztük a hálózatok szigorúbb szegmentálását, a többtényezős hitelesítés bevezetését vagy a tikosítás szélesebb körű alkalmazását. Az egyes részlegek 60 (esetenként 120) napot kapnak az illetékes vezetők kijelölésére, akik végrehajtják az intézkedéseket, és érzékenységük alapján minősítenek bizonyos információkat.
Jobb később, mint soha?
A Fehér Ház szerint a kifinomult kibertámadások szaporodása azt is világossá tette, hogy a szövetségi kormányzat nem támaszkodhat többé a hagyományos, perem alapú védelmi szemléletre a kritikus rendszerek és adatok biztosításában. Ennek megfelelően a zero trust stratégia megvalósítása ad lehetőséget az ügynökségek számára, hogy gyorsabban észleljék a fenyegetéseket, elkülönítsék azokat és reagáljanak rájuk.
Azáltal, hogy a dokumentum egy sor konkrét biztonsági célt részletez a kormányzati szervezeteknek, átfogó ütemtervként szolgálna a szövetségi kormány átállításához új kiberbiztonsági paradigmára. A stratégia első tervezetét már tavaly szeptemberben kiadták, a végleges tervezetbe pedig a mostani bejelentés szerint beépítették a kiberbiztonsági szakértőktől, piaci szereplőktől és non-profit szervezetektől származó meglátásokat is.
A kormányzati tájékoztatásból kideül, hogy a közelmúltban nagy port kavart Log4j-sebezhetőséget újabb bizonyítéknak tekintik rá, hogy ellenfeleik folyamatosan megtalálják annak a lehetőségét, ahogy "betolhatják a lábukat az ajtónyílásba". Kérdés, hogy ezt mennyire sikerül majd a felvázolt határidőn belül megváltoztatni: az amerikai légi és űrhaderő tavaly ősszel lemondott, szoftverfejlesztésekért felelős vezetője például úgy fogalmazott, hogy az amerikai kibervédelmi készségek bizonyos kormányzati intézményeknél óvodás szinten vannak.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak