Biden, Siber Savunmaları Güçlendirmek İçin Bir Sipariş Planlıyor. Yeter mi?

WASHINGTON – Doğu Sahili’ne benzin ve jet yakıtının neredeyse yarısını sağlayan bir boru hattı, başka bir fidye yazılımı saldırısından sonra Pazar günü kapalı kaldı ve acil Beyaz Saray toplantılarına ve bir yönetici emrinin federal kurumlar ve yükleniciler için siber güvenliği güçlendirip güçlendirmediğine dair yeni sorulara yol açtı. Başkan Biden yayınlamaya hazırlanırken bile yeterince ileri gidiyor.

Haftalardır taslakları hükümet yetkililerine ve şirket yöneticilerine dağıtılan ve özetleri The New York Times tarafından alınan emir, ülkenin siber savunması için yeni bir yol haritasıdır.

Çok faktörlü kimlik doğrulama gibi federal hükümet için yazılım geliştiren federal kurumlar ve yükleniciler için bir dizi dijital güvenlik standardı oluşturacaktı; tüketiciler bir banka veya kredi kartı şirketinden ikinci bir kod aldıklarında ne olacağının bir versiyonu. oturum açın. Federal kurumların, yazılım satıcılarına “sıfır güven” yaklaşımı benimsemeleri, yalnızca gerektiğinde federal sistemlere erişim sağlamaları ve yüklenicilerden, teslim ettikleri yazılımın uygun olmadığından emin olmak için adımlara uyduklarını onaylamalarını gerektirecektir. kötü amaçlı yazılım bulaşmış veya yararlanılabilir güvenlik açıkları içermiyor Ve yazılımdaki güvenlik açıklarının ABD hükümetine rapor edilmesini gerektirecektir.

İhlal edenler, ürünlerinin federal hükümete satılmasının yasaklanması riskiyle karşı karşıya kalacak ve bu da, aslında ticari pazardaki canlılıklarını öldürecektir.

Washington’daki Stratejik ve Uluslararası Çalışmalar Merkezi’nde siber güvenlik uzmanı olan James A. Lewis “İşte çubuk bu” dedi. “Şirketler doğruyu söylemiyorlarsa sorumlu tutulacaklar. ”

Önümüzdeki günlerde veya haftalarda verilmesi beklenen sipariş aynı zamanda küçük bir “siber güvenlik olayı inceleme kurulu oluşturacaktır. Kurul, genel olarak havada veya denizde meydana gelen büyük kazaları araştıran Ulusal Ulaşım Güvenliği Kurulu’na dayanacaktır.

Önlemler, yazılım şirketi SolarWinds’in, yazılım güncellemesini dokuz federal ajansa, teknoloji şirketlerine ve hatta bazı kamu hizmet şirketlerine girmek için kullanan Rusya’nın önde gelen istihbarat teşkilatı için bu kadar kolay bir hedef oluşturduğu gerçeğini ele almayı amaçlamaktadır. (SolarWinds’in federal ağlara inanılmaz erişimine rağmen, bir stajyer firmanın yazılım güncelleme mekanizmasının şifresini “SolarWinds123” olarak ayarlamıştı.)

Ancak, karar taslağının nihai olmadığı konusunda uyaran federal yetkililer, son aylarda hükümeti ve kurumsal Amerika’yı sarsan en yetenekli ulus-devlet müdahalelerini ve aksamalarını neredeyse kesinlikle engelleyemeyeceğini kabul ediyorlar. karmaşıklıkları. Buna, Microsoft e-posta sistemlerinde bir dizi bilinmeyen delik kullanan Amerikan işletmeleri ve askeri müteahhitlerin daha yeni Çin saldırıları da dahildir.

Teorik olarak, geçen hafta Colonial Pipeline’ın genel merkez ağlarını ele geçiren türden kriminal fidye yazılımı saldırısına karşı daha etkili olabilir. Bu saldırı – bir yıldan biraz daha uzun bir süre içinde bir boru hattını kapatan ikincisi – Rusya ve Çin’in bildiği türden oldukça karmaşık adımlar içermiyor gibi görünüyordu: Doğrudan boru hatlarını ele geçirmek yerine saldırganlar peşinden gittiler. Yetkililerin söylediği şey, zayıf bir şekilde korunan kurumsal verilerdi ve bu verileri o kadar büyük bir ölçekte çalıyordu ki, şirketi yayılan bir saldırı riskini almak yerine boru hattını kapatmaya zorladı.

Ancak Bay Biden’ın yürütme emrinin Colonial Pipeline için geçerli olup olmayacağı belli değildi. Doğu Kıyısı yakıt kaynaklarının çoğunun dağıtımını denetleyen özel bir şirkettir – tıpkı elektrik şebekelerinden iletişim ağlarına ve su arıtma tesislerine kadar Amerika’nın kritik altyapısının yüzde 85’i özel şirketler tarafından kontrol ediliyor.

Pazar günü öğleden sonra, şirket daha fazla ayrıntı sunmadı ve fidye ödeyip ödemediği de dahil olmak üzere hack ile ilgili soruları yanıtlamayı reddetti – F.B.’nin önerdiği bir adım. Firma operasyonlara ne zaman devam edeceğini söylemedi, sadece “bir sistem yeniden başlatma planı geliştirdiğini” söyledi. ”

Federal yetkililer, şirketin saldırıyı savuşturmak veya buna yanıt vermek için ne kadar hazırlıksız olduğu konusundaki hayal kırıklığını dile getirdi ve Beyaz Saray yetkilileri acil toplantılar düzenliyordu, bazıları benzer güvenlik açıklarına sahip olabilecek diğer operatörlerin nasıl korunacağına odaklandı.

Soruşturmaya katılan yetkililer, DarkSide olarak bilinen bir suç çetesinin Colonial’ın ağlarını işgal ettiğini ve birkaç saat içinde 100 gigabayt veri aldığını söyledi. Firma daha sonra, verilerini firma için sonsuza kadar erişilemez hale getirmekle tehdit eden ve belirsiz bir miktar için bir fidye talebi aldı ve bunun bir kısmını – muhtemelen tescilli bilgileri – internette yayınladı.

Kâr amacı gütmeyen Siber Hazırlık Enstitüsü’nün genel müdürü ve Başkanın Ulusal Siber Güvenliği Geliştirme Komisyonu’nun eski bir yöneticisi olan Kiersten Todt, “Bu saldırının başarısı, ülkemizin kritik altyapısı için ne kadar önemli oldukları göz önüne alındığında oldukça çarpıcı.” Dedi.

Pazar günü ticaret sekreteri Gina Raimondo şirketleri ağlarını güvenli hale getirmeleri konusunda uyardı.

Bayan Raimondo, CBS’nin “Face the Nation” a “Artık işletmelerin endişelenmesi gereken şey bu” dedi. Maalesef bu tür saldırılar daha sık hale geliyor. Kalmak için buradalar ve bu saldırılara karşı kendimizi savunmak için ağları güvence altına almak için iş dünyasıyla ortaklık içinde çalışmalıyız. ”

Hükümet yetkilileri, George W. Bush yönetiminden bu yana benzer açıklamaları tekrarlıyorlar. Bazı endüstriler – özellikle de ülkenin en büyük finans kurumları ve hizmetleri – milyarlarca dolar yatırım yapmış olsa da, çoğu yapmadı.

Kritik sistemleri denetleyen şirketler için minimum siber güvenlik standartlarını düzenleme çabaları, özellikle 2012’de lobiciler, standartların işletmeler için çok pahalı ve çok zahmetli olacağını savunarak Kongre’de böyle bir çabayı öldürdüklerinde, defalarca başarısız oldu.

Lewis, “2012’nin hayaleti bunun üzerinde asılı duruyor” dedi. “Ancak internette iki kişi olduğu için aynı önlemleri öneriyoruz. ”

Colonial Pipeline bunun en iyi örneğidir. Sektör, saldırganları caydırmak için sürekli olarak “bilgi paylaşımı” ndan bahsediyor olsa da, şirket siber suçluların ağına nasıl girdiği konusunda kamuoyuna hiçbir şey söylemedi.

Başkan Biden’in, federal kurumlar ve müteahhitler için bir dizi daha katı siber güvenlik önlemini zorunlu kılan bir icra emri çıkarması bekleniyor. Kredi. . . Doug Mills / The New York Times

Grup sorumlusu DarkSide, ağustos ayında ortaya çıkan fidye yazılımına göreceli olarak yeni kabul ediliyor. Sadece kurbanların verilerini şifrelemeyle kilitlemekle kalmayıp aynı zamanda serbest bırakmakla tehdit eden çifte gasp modeline geçen düzinelerce organize suç grubundan biridir. Bu tür gruplar, izlenmesi zor kripto para birimlerinde ödeme için pazarlık yapmak için gelişmiş “yardım masaları” çalıştırır.

Bu çılgınca karlı bir iş: Önceki saldırılarda, DarkSide’ın 200.000 ila 2 milyon dolar arasında gasp talepleri yaptığı tahmin ediliyor. Ama bu aslında spektrumun alt ucuna denk geliyor. Siber güvenlik firması Palo Alto Networks tarafından yapılan yakın tarihli bir araştırma, ortalama fidye talebinin şu anda 850.000 dolar ve en yüksek 50 milyon dolar olduğunu söyledi.

Şaşırtıcı bir şekilde, DarkSide web sitesinde bir davranış kuralları reklamı yapıyor: Hastaneler, hastaneler, okullar, kar amacı gütmeyen kuruluşlar ve devlet kurumları yasaklanmış kabul ediliyor. Colonial Pipeline gibi büyük, kâr amacı gütmeyen şirketler adil bir oyun olarak kabul edilir ve siber suçlular yasadışı gelirlerinin bir kısmını hayır kurumlarına bağışladıklarını bile iddia ederler. (DarkSide’ın “bağışlarının” bazı alıcıları bunları kabul etmeyeceklerini söylediler.) Müfettişler, bazı kârların mevcut korumalardan kaçınan daha iyi fidye yazılımları tasarlamaya aktarıldığına inandıklarını söylüyorlar.

Geçen ay Amazon, Microsoft, Cisco, FireEye ve düzinelerce başka firmanın üst düzey yöneticileri, fidye yazılımıyla mücadele için uluslararası bir koalisyon kurulması çağrısı yapan 81 sayfalık bir rapor sunmak üzere Adalet Bakanlığı’na katıldı. Adalet Bakanlığı içindeki çabaların başında, başsavcı yardımcısı Lisa Monaco ve Obama yönetimi sırasında ajansın ulusal güvenlik bölümünü yöneten John Carlin yer alıyor.

Geçen ay ikisi, Bayan Monaco’nun “kendi altyapımızı bize karşı kullanmak için bazen birlikte çalışan ulus-devletler ve suç girişimlerinin karma tehdidi” nin dört aylık bir gözden geçirmesini emretti. “Şimdiye kadar Adalet Bakanlığı, aralarında Ruslar, Çinliler, İranlılar ve Kuzey Koreliler de dahil olmak üzere, çok azı Amerika Birleşik Devletleri’nde yargılanan bilgisayar korsanlarını suçlama stratejisini büyük ölçüde takip etti.

Bayan Monaco, son Münih Siber Güvenlik Konferansı’nda “Yeniden düşünmemiz gerekiyor,” dedi.

Şirketler koalisyonunun rapordaki önerileri arasında, yaptırımlar veya seyahat vizesi kısıtlamaları kullanarak siber suçluları yargılamak için Rusya gibi fidye yazılımı güvenli bölgelerine baskı yapılması da yer alıyor. Ayrıca, uluslararası yasa uygulama ekibinin, kara para aklama ve “müşterinizi tanıma” yasaları kapsamında kripto para birimi borsalarını sorumlu tutmasını tavsiye eder.

Yürütme emri ayrıca, Ulusal Güvenlik Teşkilatı’nın yasal olarak faaliyet göstermesinin yasak olduğu Amerika Birleşik Devletleri’ndeki yerel sunuculardan sahnelenen son Rus ve Çin siber saldırılarında ortaya çıkan ülkenin siber savunmalarındaki kör noktaları doldurmayı da amaçlıyor.

Hem Ulusal Güvenlik Ajansı hem de Pentagon Siber Komutanlığı’na başkanlık eden Gen. Paul M. Nakasone Mart ayında Kongre’ye verdiği demeçte, 11 Eylül’den sonra Amerikan istihbarat teşkilatlarının iddianamesini yeniden canlandırarak, “Noktaları birleştiremeyeceğimiz gerçeği değil” dedi. . “Tüm noktaları göremiyoruz. ”

Emir, N. S.A.’nın tehditler hakkındaki istihbaratı özel şirketlerle paylaşmasına ve özel şirketlerin de aynısını yapmasına olanak tanıyan gerçek zamanlı bir bilgi paylaşım aracı kuracak. Bu kavram on yıllardır tartışılıyor ve hatta önceki “iyi hissetme yasası” na da girdi – Oregon Demokrat Senatörü Ron Wyden, gönüllü tehdit paylaşımını teşvik eden bir 2015 tasarısını açıkladı – ancak hiçbir zaman bu hızda veya hızla uygulanmadı. ölçek gerekli.

Buradaki fikir, devlet kurumlarının sınıflandırılmış siber tehdit verilerini şirketlerle paylaşmasına izin verecek bir gemi oluşturmak ve şirketleri, olaylar hakkında hükümetle daha fazla veri paylaşmaya zorlamaktır. Bilgisayar korsanları Sosyal Güvenlik numaraları gibi kişisel bilgilerle ifşa etmedikçe, şirketlerin bir ihlali ifşa etmek için yasal bir yükümlülüğü yoktur. Kanun koyucular yakın zamanda bağımsız bir ifşa yasası ihlali çağrısında bulunmalarına rağmen, emir bunu değiştirmeyecektir.

Ülkenin en büyük enerji şirketlerinden biri olan Southern Company’nin başkanı ve genel müdürü Thomas Fanning, geçen hafta bir röportajda mevcut yapının yavaş ve bozuk olduğunu söyledi: Ülkenin artık gerçek zamanlı komuta merkezlerine ihtiyacı var, bunun gibi Soğuk Savaş sırasında gelen füze saldırılarını görmek için inşa edildi.

“Cyber ​​Command’ın kritik sistemlerimi aynı anda görmesine ve aynı zamanda onları görmesine izin veren o savaş alanının gerçek zamanlı görünümü,” dedi. “Paylaşmak yeterince hızlı değil. Kapsamlı değildir ve ulusal güvenlik konularında buna güvenemezsiniz. “