Az amerikai kormányzat új kiberbiztonsági stratégiát tett közzé a szövetségi ügynökségek számára, amely már az úgynevezett zero trust (nulla bizalom) biztonsági modell felé mutat – vagyis abból indul ki, hogy a rendszerek kompromittálódása elkerülhetetlen, így azok egyetlen eleme sem tekinthető feltétel nélkül megbízhatónak. A közel 30 oldalas terv több tucat olyan intézkedést tartalmaz, amelyeket az érintett szervezeteknek kivétel nélkül végre kell hajtaniuk a következő két évben, az elvárható szintre növelve rendszereik biztonságát és csökkentve a biztonsági incidensek kockázatát.
Ahogy a beszámolók fogalmaznak, az amerikaiak még mindig lábadoznak a SolarWinds-botrány óta, amelynek következtében orosz hekkerek hónapokig tébláboltak zavartalanul az Egyesült Államok bizonyos kormányzati rendszerein belül. A jelek szerint Joe Biden is ekkor elégelte meg, hogy futószalagon érkeznek a nagy horderejű kibertámadásokról szóló hírek, és egy elnöki rendeletben jelezte, hogy milyen változásokat tart szükségesnek az ország védelmi képességeinek javítására.
A most nyilvánosságra hozott, új stratégia értelmében kormányzati szerveknek a 2024-es pénzügyi év végéig kell implementálniuk a tervben leírt számos intézkedést, köztük a hálózatok szigorúbb szegmentálását, a többtényezős hitelesítés bevezetését vagy a tikosítás szélesebb körű alkalmazását. Az egyes részlegek 60 (esetenként 120) napot kapnak az illetékes vezetők kijelölésére, akik végrehajtják az intézkedéseket, és érzékenységük alapján minősítenek bizonyos információkat.
Jobb később, mint soha?
A Fehér Ház szerint a kifinomult kibertámadások szaporodása azt is világossá tette, hogy a szövetségi kormányzat nem támaszkodhat többé a hagyományos, perem alapú védelmi szemléletre a kritikus rendszerek és adatok biztosításában. Ennek megfelelően a zero trust stratégia megvalósítása ad lehetőséget az ügynökségek számára, hogy gyorsabban észleljék a fenyegetéseket, elkülönítsék azokat és reagáljanak rájuk.
Azáltal, hogy a dokumentum egy sor konkrét biztonsági célt részletez a kormányzati szervezeteknek, átfogó ütemtervként szolgálna a szövetségi kormány átállításához új kiberbiztonsági paradigmára. A stratégia első tervezetét már tavaly szeptemberben kiadták, a végleges tervezetbe pedig a mostani bejelentés szerint beépítették a kiberbiztonsági szakértőktől, piaci szereplőktől és non-profit szervezetektől származó meglátásokat is.
A kormányzati tájékoztatásból kideül, hogy a közelmúltban nagy port kavart Log4j-sebezhetőséget újabb bizonyítéknak tekintik rá, hogy ellenfeleik folyamatosan megtalálják annak a lehetőségét, ahogy "betolhatják a lábukat az ajtónyílásba". Kérdés, hogy ezt mennyire sikerül majd a felvázolt határidőn belül megváltoztatni: az amerikai légi és űrhaderő tavaly ősszel lemondott, szoftverfejlesztésekért felelős vezetője például úgy fogalmazott, hogy az amerikai kibervédelmi készségek bizonyos kormányzati intézményeknél óvodás szinten vannak.
Exkluzív szakmai nap a felhők fölött: KYOCERA Roadshow a MOL Toronyban
A jövő irodája már nem a jövő – hanem a jelen. A digitális transzformáció új korszakába lépünk, és ebben a KYOCERA nemcsak követi, hanem formálja is az irányt. Most itt a lehetőség, hogy első kézből ismerje meg a legújabb hardveres és szoftveres fejlesztéseket, amelyekkel a KYOCERA új szintre emeli a dokumentumkezelést és az üzleti hatékonyságot.
a melléklet támogatója a One Solutions
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak