informatikaInternetközigazgatás: külföldön

Kiberfenyegetés: az amerikai kormány újabb lépéseket tett a kritikus infrastruktúra védelmére – ám nem eleget

Szerző: 2021. december 6.No Comments

Az idei év zsarolóvírusos támadásai, amelyek elsősorban (és most már egyértelműen célpontot változtatva) a kritikus infrastruktúrák körébe tartozó vállalatokat (energiahálózatokat, pénzügyi szolgáltatókat, az élelmiszeripar nagyvállalatait, egészségügyi ellátó intézményeket) igyekeztek megbénítani, a jelek szerint felrázták az amerikai politikai elitet általában és a döntéshozókat különösen. De, talán nem eléggé – legalábbis ezt a véleményüket hangoztatják a végrehajtó intézményrendszer kulcsvezetői, hiányolva a valóban átfogó és hatékony ellenintézkedéseket. Mint emlékezetes a fontosabb lépések közé tartozott az év tavaszán-nyarán a kibertér védelméért felelős intézmények közötti koordináció erősítése. A szervezeti intézkedések mellett fontos szerepet töltött be a Biden-kormány kibervédelmi intézkedéscsomagjában az a szabályozás is, amely (elnöki rendelet formájában) intézkedett arról, hogy a zsarolóvírusos támadások áldozataivá vált intézmények (jellemzően magánszektor szervezetek) kötelesek legyenek haladéktalanul értesíteni a hatóságokat a támadás tényéről. Az első pillanatra szokatlan mozzanat hátterében az áll, hogy a megtámadott vállalatok (az erős lelki teher nyomására, az ügy gyors és feltűnésmentes elintézésének vágyától vezéreltetve, és nem utolsó sorban a céges reputáció megőrzését szem előtt tartva) csak ritkán fordulnak ugyanis a hatóságokhoz; inkább a zsarolók által követelt váltságdíj gyors kifizetésével igyekeznek pontot tenni a veszélyes ügyek végére. Ez az áldozati hozzáállás azonban tovább erősíti a zsarolóvírusos támadások „népszerűségét”: gyors és feltűnésmentes akciót ígérve az ilyen támadásokra szakosodott (többnyire nagyon képzett, jól szervezett) nemzetközi bűnözői csoportok tagjai számára.

A Biden-kormány Belbiztonsági Minisztériumának (Department of Homeland Security – DHS) vezetője a héten egy fontos kritikus infrastruktúra területen működő vállalatok számára bocsátott ki a kibertámadásokkal szembeni védekezést szolgáló előírásokat. Alejandro Mayorkas miniszter egyébként már az ősszel a nyilvánosság elé tárta tervezett intézkedéseit, amelyeket akkor (azok elégtelen volta miatt) számos kritika ért. A most életbe léptetett szabályok sem erősítették az eseményeket kommentáló szakértőkben azt az érzetet, hogy különösebben jelentős lépéseket sikerült volna tenni a zsarolóvírusos támadások immár társadalmi szintű fenyegetésének visszaszorítására.
A most bejelentett intézkedések (előírások) a modern társadalmak életében rendkívül fontosnak számító szállítási és közlekedési szektor (ezen belül is a légiközlekedés, légi szállítás, illetve a vasúti közlekedés és áruszállítás szereplőit) érintették. A most kiadott minisztériumi útmutatás értelmében az ezeken a területeken működő amerikai vállalatoknál specializált kiberbiztonsági összekötőt kell kinevezni. A kiberbiztonsági felelősre hárul az a kötelezettség, hogy felmérje az adott vállalat kiberbiztonsági sérülékenységeit, illetve (részben a feltárt gyenge pontokhoz igazodva) részletes elhárítási tervet dolgozzon ki az esetleges kiberbiztonsági incidensek kezelésére. Ugyancsak a vállalati kiberbiztonsági megbízottak felelősségévé teszi az új szabályozás azt is, hogy a számítógépes rendszereket érő támadásokról, 24 órán belül, hivatalosan tájékoztassák az ellenbeavatkozásokért országosan felelős CISÁ-t, azaz a Kiber- és Infrastruktúra Biztonsági hatóságot (Cybersecurity and Infrastructure Security Agency).

Az újabb kormányzati kibervédelmi intézkedés véleményező megszólalók, többnyire a belbiztonsági terület (minisztérium) korábbi magas rangú kiberbiztonsági tisztségviselői azonban fájó hiányosságként említik: a mostani rendelkezések semmiféle kibervédelmi megelőző intézkedéseket nem irányoznak elő, illetve semmilyen alapvető kiberbiztonsági standardokat sem fogalmaznak meg az érintett vállalatok számára. Márpedig, vélik a szakemberek, ennél sokkal szigorúbb védekezési követelményeket kellene ahhoz előírni, hogy a vállalati szektor (sok szempontból felkészületlen) szereplői az egyre kifinomultabb, professzionálisabb zsarolóvírusos támadásokkal eredményesen vehessék fel a küzdelmet. Szinte minden megszólaló kiberbiztonsági szakember hangsúlyozza: csak remélni lehet, hogy ezek az intézkedések egy – egyébként jó és üdvözlendő – első lépései lesznek csupán egy egész intézkedés sorozatnak. Többen azért megjegyzik azt is: a most előírt szabályok – fogalmazzunk finoman így – még a laikustól is elvárható, elemi szintű elővigyázatossági intézkedések legfeljebb. Olyasmik tehát, amelyek az alapvető kiberhigiénés szemléletmóddal felvértezett vállalati szereplőknek is, már régen alkalmazniuk kellene.
A kommentárok egy része megemlíti azt is: nyáron, amikor az év első felének legjelentősebb zsarolóvírusos támadása, a Colonial energetikai hálózat üzemeltetőjét megbénító akció sokkja még erősen éreztette a hatását, akkor a Biden-kormányzat sokkal erőteljesebb védelmi intézkedések megtételére kötelezte a nagy energia hálózatok üzemeltetőit. Egyébként azokat az intézkedéseket éppen a túlzott merevségük miatt, túlságosan rugalmatlan előíró jellegük miatt érték kritikák.

Idő közben a kormányzat kibervédelmi intézkedés csomagjának egyes részletei mind erőteljesebb kritikát váltottak ki az amerikai törvényhozás republikánus képviselőinek a köréből is. Míg ezek a képviselők általában (kvázi kétpárti egyetértéssel) támogatják Biden kibervédelmi intézkedéseit, és maguk is az ilyen törvénytervezetek mögé állnak a Kongresszusban, alapvetően ellenzik azt, hogy központi előírások szabályozzák a magánvállalatok által követendő kibervédelmi intézkedéseket (legfeljebb a támadások kötelező jelentésének előírását tartják egyetemlegesen előírandónak).

A most bevezetett előírásokat egyébként az érintett iparági szakmai vezetők is bírálták, mondván, hogy a most kötelezővé tett lépésekről velük nem egyeztetett előre a minisztérium, és az előzetes konzultációk hiánya az intézkedések hatékonyságára is kihatott.
Rail and air have new cyber requirements – but they’re minor; Joseph Marks; The Washington Post, Cyber 202; 2021. december 3.
Az ismertetés Dr. Nyáry Gábor munkája.