Az amerikai kormányzat új direktívával igyekszik jelentősen javítani a védekezésért felelős állami intézményrendszer reagálási képességét. De legalábbis lerövidíteni a reakció időket. Az elmúlt héten kibocsátott kormányzati útmutató (formálisan egy a nagyhatalmú Nemzetbiztonsági Tanács, a közvetlenül az elnök alárendeltségében működő kulcsfontosságú biztonságpolitikai döntéshozó szervezet, az NSC által kibocsátott emlékeztetőről van szó) ugyanis 24 órás határidőben rögzíti azt az időtartamot, amelyen belül az amerikai államigazgatás illetékes szervezeteinek, elsősorban a Szövetségi Nyomozó Irodának (FBI) kötelessége kivizsgálni és felmérni, hogy egy-egy kibertérben indított akció jelent-e számottevő nemzetbiztonsági fenyegetést.
A mostani irányelv tulajdonképpen rímel az USA belső biztonságáért miniszteriális szinten felelős Department of Homeland Security, azaz a Belbiztonsági Minisztérium néhány hete kiadott rendeletére, amelyben a zsarolóvírusos támadások áldozataivá vált vállalatokat kötelezték arra, hogy 24 órán belül jelentsék az ügyet az illetékes szövetségi hatóságoknál. A probléma azonban éppen az volt (és vélhetően maradt is), hogy még a hatóságokhoz való fordulás szándéka sem tudja sokszor feloldani azt az alapvető dilemmát: vajon melyik az „illetékes” hatóság egy-egy ilyen komoly horderejű kiberbiztonsági incidens esetében? Az idei év első hónapjaiban kirobbant zsarolóvírusos válsághelyzeteknek az egyik legfontosabb tanulsága éppen az volt, hogy a megtámadott vállalatoknak – a szó legszorosabb értelmében – fogalma sem volt arról, hogy kihez (és milyen sorrendben) kellene fordulniuk a támadás feltartóztatására, a károk enyhítésére, a bűncselekmény meghiúsítására. Ahogy korábban beszámoltunk róla: a közvéleményt (és a hatóságokat, valamint természetesen a politikai eliteket is) sokkoló első idei óriástámadásban, a megtámadott Colonial hálózat üzemeltetője hét különböző szövetségi hivatallal és szervezettel állt kapcsolatban az ügy kirobbanását követő időben (miközben a kulcsfontosságú energiaszolgáltató vállalat számítógépes rendszerei bénultan álltak). Az év első hónapjainak másik nagy horderejű zsarolóvírusos támadásában (a JBS húsfeldolgozó hálózat rendszereinek blokkolásakor) a szövetségi bűnüldöző szervekhez befutó riasztás órákon át keringett az FBI Helyi) intézményén belül, keresve az intézkedésre jogosult „illetékest”. Ami világosan mutatta azt, hogy a privát szféra vállalatainál a szövetségi hatóságok egyes szervezetei sem voltak jobban tisztában a teendőkkel, illetve az illetékességekkel.
Az eddigi esetek egyértelműen arra mutatnak, hogy hiányoznak az amerikai államigazgatáson (illetve az államigazgatás-magánszféra kapcsolati helyzeteken) belül azok az egyértelmű, világos eljárásrendek (akár törvények, akár rendeletek, vagy belső ügyviteli eljárási szabályozások), amelyek segítenének operacionalizálni a kirobbanó kibertámadásokkal szembeni fellépést. Nagyon egyszerűsítve úgy fogalmazhatunk: a jelenlegi amerikai rendszerben sem a kibertámadások áldozatai, sem a kiberbűnüldözésért felelős állami szervezetek nincsenek tisztában az ilyen esetekben megteendő gyors, egyértelmű, hatékony lépések mibenlétével. Az egyik ilyen orvosolandó hiányosság éppen a fellépések gyorsaságához, pontosabban lassúságához kapcsolódik. A Nemzetbiztonsági Tanács mostani direktívája tulajdonképpen erre a védekezési részproblémára fókuszál most. A cél tehát egyértelműen az, hogy felgyorsítsák (fix határidőhöz kötve) a kormányzati szervezetek reakcióját.
Az amerikai államigazgatás, mint minden modern nagy állam komplex szervezete, természetesen sok logikátlan, ellentmondásos eljárási lépést tartalmazhat. A hatásköri tisztázatlanságok, átfedések is gyakran rontják az ügykezelés hatékonyságát (hogy most a nyilván ott is létező szervezeti, intézményi rivalizálások okozta fennakadásokról már ne is beszéljünk). Ezzel együtt is felmerül a szemlélőben a kérdés: mi teszi indokolttá azt, hogy konkrét kibernetikai támadásokra vonatkozó információk az ilyen ügyekben eljáró nyomozó hatóságoktól (alig 24 óra leforgása alatt) az USA nemzetbiztonsági döntéshozásának abszolút csúcsához, a Nemzetbiztonsági Tanácshoz jussanak? Az NSC döntéseihez közel álló egyes források szerint lényegében arról van szó, az áll a mostani memorandum hátterében, hogy az amerikai nemzetbiztonság legfontosabb döntési fórumának tagjai lényegében valós időben szeretnének értesülni minden olyan incidensről, ahol fennáll az eshetősége annak, hogy egy részt az akció jelentős nemzetbiztonsági kockázatot hordozó, kiterjedt támadást (például kritikus nemzeti infrastruktúrát érintő zsarolóvírusos támadást) takar; illetve másrészt feltételezhető, hogy az ellenséges kiberakció mögött olyan nemzetközi kiberbűnözői csoport áll, amely rivális (ellenséges) államhatalom aktív, vagy hallgatólagos támogatását élvezi. Magyarán fogalmazva: amely mögött az orosz állam gyanítható. A gyors, közvetlenül a döntéshozatal csúcsaihoz becsatornázott információáramlás azt segítené elő, hogy a nemzetbiztonság felelős vezetői eldönthessék: olyan akcióról van-e szó, amely alapvetően érinti, veszélyezteti azon kritikus infrastruktúra elemeket, amelyek „érinthetetlenségéről” éppen tárgyalások folynak az USA és Oroszország között (a rendelkezésre álló információk szerint most éppen szakértői szinteken). Más források ugyanakkor hangsúlyozzák, hogy a Nemzetbiztonsági Tanács direktívájának megfogalmazásakor nem merült fel az, hogy külföldi államok (konkrétan Oroszország) esetleges szerepének gyors tisztázása lenne az ilyen eljárás célja. Sokkal inkább arról van szó, hogy az amerikai nemzetbiztonságért felelős döntéshozók haladéktalanul értesüljenek arról, ha az ország gazdaságát jelentősen érintő támadás kezdődött; a cél ebben az esetben ugyanis az, hogy – mint például a Colonial energiahálózat elleni támadáskor – a döntéshozók időben felmérhessék a nemzetgazdasági kockázatokat, és szükség esetén gondoskodni tudjanak alternatív kapacitások, készletek mozgósításáról.
A Nemzetbiztonsági Tanács most megfogalmazott emlékeztetője előírja, hogy az FBI, valamint a kibertámadások elleni védekezésért felelős amerikai intézményi szereplők sora (elsőként természetesen a CISA, magyarul a Kiber- és Infrastruktúra Biztonsági Ügynökség, valamint a DNI, azaz a Nemzeti Hírszerzési Igazgató, a több mint tucatnyi amerikai hírszerző és elhárító szervezetet koordináló hivatal) az előírt 24 órás időhatáron belül megállapítsa a kibertámadások elkövetőinek szándékát is. Egyértelmű választ kell tudniuk adni arra, hogy az akció anyagi haszonszerzésért indult, vagy pedig szabotázs, az érintett rendszerek megbénítása a célja. A probléma ezzel azonban az, hogy a kibertérben (ahogy a „hagyományos” világ tereiben is) az egyes cselekedetek mögötti motivációk nem feltétlenül vagy-vagy alapon írhatók le. Az anyagi haszonszerzés például nem feltétlenül zárja ki az esetleges politikai (vagy éppen geopolitikai, tehát hatalmi) megfontolások létét. Másrészt a kiberbiztonsági szakma művelői a megmondhatói: egyáltalán nem olyan könnyű egy-egy támadás mögöttes hátterét, az elkövetők mozgató rugóit felderíteni. Az ezzel kapcsolatos kép jelentősen változhat is az ügy előre haladtával. A Kaseya szoftvercég elleni kibertámadásban például (amelyben végül globálisan mintegy 1500 különböző cég szerepelt a kárvallottak sorában) egészen mást gondoltak a védekezést irányítók az elkövetők céljairól az első egy-két napban, mint egy héttel később.
A Nemzetbiztonsági Tanács direktívája egyébként egy színkódolási rendszert is bevezet (előír) a felderítéssel foglalkozó szervezetek számára az egyes ügyek gyors, egyértelmű klasszifikálására. A kiberincidensekre vonatkozó színkódolási rendszer egyébként nem új keletű: az Obama-kormányzat alatt (2014-2015-ben) dolgozták ki is és vezették be a kibertámadások súlyosságának jelzésére. Az egyik végletet a „zöld” színnel jelezett akciók jelentik, amelyek nem jelentenek lényeges nemzetbiztonsági, vagy közbiztonsági fenyegetést. A skála másik végpontján a „fekete” jelzéssel klasszifikált ügyek állnak majd, olyanok, amelyek hivatalosan is vészhelyzetet jelentenek, azonnali és közvetlen veszélyt jelentenek amerikai állampolgárok életére, vagy a szövetségi kormány működésére. Ide tartoznak ugyanakkor azok az esetek is, ahol a „széleskörű kritikus infrastruktúra szolgáltatások” kerülnek veszélybe.
New White House policy gives agencies 24 hours to assess cyberattacks of potential national security concern; Sean Lyngaas; CNN; 2021. december 10.