Hogyan léphet túl az USA SolarWinds sokkon?

 

Bruce Schneier IT-biztonsági szakértő esszében foglalta össze gondolatait az utóbbi évek legnagyobb hatású kiberkémkedési incidenséről, a SolarWinds esetről. A gőzerővel tartó kivizsgálás során eddig már több, mint 250 egyesült államokbeli szervezet ─ köztük jónéhány szövetségi ügynökség ─ érintettségére derült fény, ám ez minden bizonnyal csupán a jéghegy csúcsa. Hatalmas kudarc ez az USA számára az államszervezet kiberbiztonsági felkészültségét tekintve, amelynek nemzetbiztonsági kockázata jelen pillanatban még fel sem mérhető igazán. Joe Biden elnökjelölt első reakciója a megtorlás volt. A kibereszközökkel történő hírszerzés azonban napjainkban úgyszólván “business as usual”, az Egyesült Államok ráadásul Schneier szerint meglehetősen offenzív e téren. Később azután Biden is realisztikusabb hangnemre váltott, amikor az Egyesült Államok kibervédelmének fejlesztéséről beszélt. Elsőként vetődik fel a kérdés, hogy a 2 éve felállított kiberbiztonsági szerv, a Cybersecurity and Infrastructure Security Agency (CISA) miért nem volt képes detektálni a támadást, nem elfeledve persze a SolarWinds felelőtlenségét, ahogy az alapvető biztonsági intézkedéseket feláldozták a költséghatékonyság oltárán. Az USA kormányzata által használt szoftverek beszerzési eljárásának reformja vitán felül szükséges. Ennek első lépéseként szövetségi kormányzati támogatással készül a Software Bill of Materials,  amely nagyobb átláthatóságot ír elő a szoftverfejlseztő cégek számára a szoftverkomponensek tekintetében. A beszerzés azonban csak a kezdet, a biztonsági követelmények teljesülését a termékek teljes életciklusa alatt célszerű felügyelet alatt tartani. Egy másik fontos terület a “Dolgok Internete”, hiszen az internetkapcsolattal rendelkező okoseszközök sérülékenységei potenciálisan a kritikus infrastruktúrák ellen is felhasználhatóak. E tekintetben a nemrég érvénybe lépett IOT Cybersecurity Improvement Act jelent kiindulópontot, ami a kormányzati szektort érinti. A Biden adminisztráció számára azonban nehezen megkerülhető egy minden szoftverre kiterjedő alapvető biztonsági követelményrendszer meghatározása.

(schneier.com)