„Amerika eltökélt a kritikus infrastruktúrák megvédésére – de a lépéshátrány komoly probléma marad
A múlt hét egyik legfontosabb döntése lehet – legalábbis a globális kiberbiztonságért folyó egyre kilátástalanabbnak tetsző küzdelemben – az, hogy Biden jóváhagyta azt a korábban beterjesztett törvénycsomagot, amely a kritikus infrastruktúra elemek védelmének jelentős erősítését célozza meg. Az összességében mintegy 1,2 billió dolláros infrastruktúra fejlesztési célirányzaton belül igen jelentős összeget – 2 milliárd dollárt – különítettek el a védekezés különböző komponensei számára. A defenzív gondolkodás irányát jól mutatja, hogy az így rendelkezésre álló források tekintélyes részét nem a szövetségi szintű biztonsági intézkedések javítására szánják: a pénz fele ugyanis (egy kereken 1 milliárd dolláros támogatási blokk) az állami és helyi szintű infrastruktúra védelmi intézkedéseket segíti majd elő.
A pénzügyi csomagból 21 millió dollár jut majd a közelmúltban létesített fontos, közvetlen elnöki hatáskörben működő Nemzeti Kiberbiztonsági Igazgató (National Cyber Director) iroda működtetésére. Az új hivatal felállításáról – amihez hasonló tulajdonképpen eddig még nem létezett az amerikai közigazgatásban – a 2021. évi nemzetvédelmi költségvetési törvény határozott. Élén Chris Inglis személyében a kiberterület nagy múltú szakértője áll. Feladata szerint a kiberbiztonságot és kiberstatégiát érintő kérdésekben az elnök legfőbb tanácsadójaként segíti őt a döntéshozatalban. Ugyanakkor a legfőbb elnöki szintű kapcsolattartó lesz a kiberbiztonság témájában a magánszektorral és a nemzetközi élet fontos szereplőivel is. Ezzel az új hivatallal tulajdonképpen rendkívül komoly és sokrétű politika-alakító intézmény született az elnök szűkebb apparátusán belül a kibertémák kezelésére. Az új intézmény mindenképpen arra enged következtetni, hogy a kiberbiztonság témája a Biden-kormányzat egyik központi fókuszterülete lesz hosszú távon is. Az élén álló hivatalnok, Chris Inglis a hírszerző tevékenység számos posztján szolgált az elmúlt évtizedekben. Utóbb (2006 és 2014 között) a Nemzetbiztonsági Hivatal (National Security Agency) főigazgató-helyetteseként a kiberbiztonság egyik legmagasabb tisztségét látta el.A hírek szerint egyébként ez csupán az első jelentősebb pénzügyi csomag abból a sorból, amivel a Biden-kormány az elkövetkező hónapokban jelentős javulást kíván előmozdítani az amerikai kiberbiztonság egyre több oldalról fenyegetett világában. Hamarosan a törvényhozás elé kerülhet például a demokraták által előkészített társadalom-támogatási törvénycsomag, aminek keretében nagyjából 500 millió dollárt szánnak majd a CISA, a Kiber- és Infrastruktúra-biztonsági Ügynökség átfogó (mondhatnánk úgy is, lakossági) kibertudatosság- és kibervédelem erősítő programjaira. Nem mellékes ebből a szempontból az sem, hogy az előttünk álló héten kerül a törvényhozás felső háza, a Szenátus elé a jövő évi nemzetvédelmi költségvetés tervezete. Ez jellemző módon szintén a kiberbiztonsággal kapcsolatos kormányzati intézkedések egyik gyűjtőhelye, ami egyben természetesen, sőt elsősorban a megfelelő forrásallokációt is jelenti. A hírek szerint az egyik fontos rendelkezés, amit éppen ebbe a csomagba építenének bele a törvényhozók, az az elmúlt hetekben élénk szakmai-politikai diskurzust kiváltott kötelezettségre vonatkozik majd: e szerint a zsarolóvírusos támadásban érintett, kritikus infrastruktúrát üzemeltető magánszervezetek 72 órán belül kötelesek lesznek majd jelenteni az incidenst. (Mint ismeretes, ennek a jelentőségét az adja, hogy a szakmai közgondolkodás szerint az ilyen támadások egyik legfontosabb jellemzője, az ügy gyors, nyilvánosság kihagyásával történő „rendezését”, azaz a váltságdíj kifizetését preferálja jelenleg a megtámadott cégek zöme. A nyilvánosság, és persze a hatóságok kihagyásával azonban a bűncselekmény „kockázatmentesebbé” válik – és ez jelentős ösztönzést ad az elkövetőknek újabb támadások indítására.)
A Biden-kormányzat eltökéltségét, illetve az exponenciálisan terjedő zsarolóvírusos támadáshullám megfékezését célzó intézkedések átfogó jellegét mutatja az is, hogy a kiberbiztonságért és a kritikus infrastruktúra védelméért felelős központi szervezet, a CISA a közeljövőben nyilvánosságra hozza azt a központi eljárásrendet, ami a kibertámadások esetén követendő lépéseket szabályozza a megtámadott szövetségi kormányhivatalok, illetve intézmények számára. A szabályzat elkészítését még idén tavasszal irányozta elő Biden egyik elnöki rendelete, amely a központi államigazgatás kiberbiztonsági védelmi szintjének erősítését tűzte ki célul. (Az intézkedés elrendelése, implicite, azt is jelzi, hogy mindeddig nem létezett olyan átfogó szabályzás, amely egyértelmű eligazodást adott volna a kibertámadások áldozatául esett állami intézményeknek az azonnali védelmi lépésekre.) Noha az új eljárásrend (vagy eljárásrendek) csupán a központi államszervezet alárendeltségébe tartozó intézményekre és szervezetekre vonatkoznak majd, a CISA illetékes vezetője szerint kívánatos volna, hogy a magánszervezetek (magánvállalatok) is ehhez a központilag szabályozott védekezési cselekvési szabályhoz alkalmazkodjanak majd.
A fenti intézkedés egyfajta világos hátteréül szolgálhat egyébként az a kongresszusi jelentés, amit a napokban hoztak nyilvánosságra. A törvényhozás által megrendelt, átfogó vizsgálat (amely az idei év hatalmas visszhangot kiváltó zsarolóvírusos támadásainak a tanulságait kereste) két univerzális konzekvenciát vont le a Colonial energiaszolgáltató hálózat, majd a JBS nevű húsfeldolgozó láncolat elleni támadásokból. Az első és talán legfontosabb tanulságnak az nevezhető, hogy a megtámadott vállalatoknak – a szó legszorosabb értelmében – fogalma sem volt arról, hogy kihez (és milyen sorrendben) kellene fordulniuk a támadás feltartóztatására, a károk enyhítésére, a bűncselekmény meghiúsítására. A Colonial hálózat üzemeltetője például nem kevesebb, mint hét (!) különböző szövetségi hivatallal és szervezettel állt kapcsolatban az ügy kirobbanását követő időben. A szövetségi hatóságok oldalán sem feltétlenül álltak jobban a dolgok: szinte menetrendszerűnek látszik az az eljárás, hogy az egyik megkeresett FBI-kirendeltség (amely egy ideig foglalkozik a támadással), egy idő után egy másik FBI-kirendeltséghez utalja át az esetet. A JBS cég elleni támadáskor az FBI-hoz beérkező riasztást igénylő e-mail üzenet órákon át válasz nélkül maradt: „házon belül” járt kézről kézre, ahogy a kémelhárításért és szövetségi szintű bűnüldözésért felelős FBI különböző részlegei azt próbálták kideríteni, hogy tulajdonképpen melyikük is „illetékes” az ügyben.
A kongresszusi vizsgálat feltárta azt is: a támadók egyik általános taktikája az, hogy rendkívül erős nyomás alá helyezik az áldozatot annak érdekében, hogy a váltságdíj összeg kifizetését maximálisan felgyorsítsák. Szokásos „bűnözői eljárásrend” ennek érdekében például az, amit a REvil csoport hackerei alkalmaztak a JBS cég elleni támadáskor: a kezdetben kitűzött 22,5 millió dolláros váltságdíj ütemes megduplázásával fenyegettek, ha a fizetési határidők lejártak volna (a megzsarolt cég végül, ez is érdekes, az eredeti összeg felére, azaz 11 millióra alkudta le a váltságdíjat). Az ütemes váltságdíj duplázás általános taktika, a Colonial elleni támadásnál is ezt alkalmazták a zsarolók. Ez a fenyegetés, a megtámadott vállalaton (annak vezetési struktúráin) belül ilyenkor tapasztalható tanácstalansággal, fejetlenséggel súlyosbítva rendkívüli nyomás alá helyezte a cégvezetéseket.
Összességében a kongresszusi vizsgálat végkövetkeztetése az: mindaddig, amíg nem sikerül számottevően javítani a magánszektor (elsősorban a vállalati szféra) kiberbiztonsági eljárásait, addig lényegében kilátástalan marad a kiberbűnözők elleni küzdelem – akik egyébként is mindig egy lépéssel előbb járnak.”
Forrás:
Amerika eltökélt a kritikus infrastruktúrák megvédésére – de a lépéshátrány komoly probléma marad; Joseph Marks; The Washington Post; The Cybersecurity 202; 2021. november 16.
Az ismertetés dr. Nyáry Gábor munkája.
