Az amerikai elnök az elmúlt hét végén fontos végrehajtási utasításban szabályozta az Egyesült Államok vezető hírszerző szervezetének kiberbiztonsággal kapcsolatos feladatköreit. Az ún. nemzetbiztonsági memorandum (national security memorandum), amelyet Biden az elmúlt héten látott el kézjegyével, lényegében az 2021 májusában kiadott, átfogó elnöki utasítás végrehajtási kiegészítéseként szabályozza a Nemzetbiztonsági Ügynökség (National Security Agency) kiberbiztonsággal kapcsolatos – bővített – feladatköreit. Mint emlékezetes, a múlt év első hónapjaiban drámai ütemben felívelő kibertámadási hullám komoly kihívások elé állította az éppen csak hivatalba lépő új Biden-kormányt. Az előző év végi SolarWinds támadássorozat sokkjából még fel sem éledő amerikai kiberbiztonsági intézményrendszert a zsarolóvírusos támadások egész sora rázta meg akkor, kezdve a Colonial üzemanyaghálózat elleni bénító kíbercsapással. Az új vezetés egész sor intézkedésben igyekezett gyors (alapvetően taktikai jellegű, de egyes elemeiben a jövőbe pillantó, stratégiai megoldásokat is előirányzó) gyógyírrel szolgálni a társadalmi méretekben fenyegető új veszélyformákra. Érdemes emlékezni rá: az ügyek súlyosságát jól mutatta, hogy az amerikai nemzetbiztonsági szakmai gárda immár a nemzetközi terrorizmussal egy súlycsoportba sorolta a kibertér (kicsit pongyola fogalmazással többnyire „hackertámadásként” emlegetett) kockázatait.
Az amerikai szövetségi állam különféle intézkedései között kiemelkedő helyt foglalt el az a tavaly májusban kiadott elnöki rendelet, amely a kiberbiztonság számos aspektusát igyekezett egyetlen, átfogó jogszabályban megreformálni, elsősorban az állami (tehát, amerikai fogalmak szerint szövetségi) számítástechnikai rendszerek vonatkozásában. A most megjelent, csatlakozó végrehajtási utasítás néhány nagyon fontos operatív kérdésben ad egyértelmű útmutatást, illetve szabja meg az érintett hatóságok feladatait-kötelességeit. Az új végrehajtási dokumentum alapvetően a Nemzetbiztonsági Ügynökség működésével kapcsolatos teendőket és hatásköröket illetően ad részletekbe menő eligazítást. A dokumentum tehát egyértelműen tisztázza a Nemzetbiztonsági Hivatal kiemelt szerepkörét az állami számítástechnikai rendszerek és folyamatok kibertechnológiai biztosításában. Az NSA, amelyet a dokumentum egyébként, sokat mondó terminussal a kiberbiztonsági kérdések amerikai „nemzeti menedzserének”, átfogó szakmai gazdájának nevez, nem csupán a legnagyobb létszámú (és messze a legnagyobb költségvetéssel működő) tagja az egyébként igen kiterjedt, és összesen 18 önálló szervezetet felölelő ún. „hírszerző közösségnek”. Alapvető funkciója is kiemeli őt ebből a specializált, különféle területekre szakosodott szervezeti közegből, hiszen az NSA felel a modern társadalmakban egyre nagyobb szerepet játszó jelfelderítésért, rejtjelezésért és rejtjelfejtésért, egyszóval tehát a kibertérrel kapcsolatos nemzetbiztonsági tevékenységek meghatározó részéért.
A most kiadott végrehajtási utasítás elsősorban azt részletezi, hogyan kell értelmezni a tavaly májusi elnöki rendeletnek a nemzetbiztonsági védelem alá eső (minősített, magyarul titkosított) számítástechnikai rendszereinek a kiberbiztonsági védelmét. Különösen fontos témaként taglalja a titkosított és a nyilvános rendszerek és hálózatok közötti adatforgalom szabályozását, védelmét. A most kiadott végrehajtási utasítás rendelkezik arról is, hogyan kell végrehajtani a szövetségi számítástechnikai rendszerekre vonatkozó politikák (eljárási szabályozások) tavaly elrendelt átfogó megújítását. Itt a hangsúly az ún. zéró bizalom elvén alapuló védekezési rendszerek kialakításán van. Rögtön pontosítunk persze: valójában a sokat emlegetett, ténylegesen drámai váltást jelentő „zéró bizalom” alapú védekezés sokkal inkább egy újfajta védelmi filozófia, sem mint egy konkrét védekező eljárás a digitális rendszerekben és hálózatokon. Lényege az a felismerés, hogy tökéletes védekezés (természetesen) a digitális rendszerek világában sem létezik. Nem fordít ugyan hátat ez az új koncepció a külső védelmi vonalak (az ún. periméter) lehetséges biztosításának, ám alapvető feltételezése az, hogy az ellenség „már a falakon belül van”. Olyan diagnosztikai eszközöket és rendszereket működtet tehát, amelyek folyamatosan ellenőrzik a rendszerek használóit, illetve használatát. A cél az anomáliák gyors felderítése, a szükséges védelmi ellenintézkedések haladéktalan megkezdése.
A most életbe lépő végrehajtási utasítás továbbá részletes menetrendet szab meg a védett szövetségi számítástechnikai rendszereken alkalmazandó többlépcsős azonosítási rendszerek bevezetésére, illetve általában a felhő alapú számítástechnikai működések biztonságának garantálására. A témának tulajdonított alapvető fontosságra utal az is, hogy a felhőben működtetett nemzetbiztonsági informatikai rendszerek új kiberbiztonsági szabványainak kidolgozására mindössze 90 napos határidőt szab az elnöki dokumentum a végrehajtásért felelős Nemzetbiztonsági Ügynökség számára.
A dokumentum rendelkezik egyebek mellett a minősített állami számítástechnikai rendszerek titkosításának (kriptológiai eljárásokkal és eszközökkel történő védelmének) biztosításáról is. Ezen a téren távlatos megközelítést alkalmazva, a kvantum számítástechnikai eljárásoknak (eszközöknek) ellenálló titkosítási szabványok kidolgozását tűzi ki feladatul, ami önmagában is roppant feladatnak ígérkezik.
Mint arra már a korábbiakban utaltunk, az elnöki jogszabály fontos mérföldkő kíván lenni a kiberbiztonsággal kapcsolatos amerikai nemzetbiztonsági erőfeszítések összehangolásában, hatékonyságának számottevő növelésében. Az NSA számára már egy 1990-ben közreadott nemzetbiztonsági végrehajtási utasítás kijelölte a kiberbiztonságot érintő ügyekben az össznemzeti, azaz szövetségi koordinátori funkciót a titkosított (illetve az ún. szigorúan titkosított) számítástechnikai rendszerek felhő alapú működésének biztosítására. A felhő-biztonság előmozdítására az NSA szorosan összefogja a CIA, az FBI, a Honvédelmi Minisztérium és a Szövetségi Hírszerzési Koordinátori Hivatal (ODNI) működését. Az új, most megjelent végrehajtási utasítás kiterjeszti az így összefogott intézményhálózatot: rendelkezése értelmében ugyanis mostantól a Belbiztonsági Minisztérium (a kiberbiztonsági ügyekben átfogó hatósági jogkörrel felruházott CISA, azaz a Kiberbiztonsági és Infrastruktúra védelmi Ügynökség anyaintézménye) is köteles szorosan egyeztetni az NSA-vel minden olyan felhő alapú kiberbiztonsági incidens ügyében, amely a nemzetbiztonságot, vagy a szövetségi állam kritikus infrastruktúráit fenyegetőnek tekinthető. A két (erősen autonóm szellemiséggel felvértezett) amerikai nemzetbiztonsági szervezet új keletű együttműködésének komoly próbája lesz az a feladat, amit a most megjelent végrehajtási utasítás rövid határidővel nevesített. Az NSA és a DHS (Belbiztonsági Minisztérium) köteles 60 napon belül kidolgozni olyan „vészhelyzeti” eljárásrendeket, amelyekre támaszkodva a kibervédelemért felelős szövetségi szervezetek „befoltozhatják” a szövetségi rendszerek jelen pillanatban ismert biztonsági réseit. Ugyancsak 60 napot hagy az új jogszabály az NSA-nak és a DHS-nek arra, hogy átfogó eljárásrendeket dolgozzanak ki a titkosított információk (és ezen belül is kiemelten a hírszerzési információk) biztonságos megosztására és védelmére. A gyors fellépés igénye ugyanakkor a dokumentum más rendelkezéseiből is egyértelműen kiviláglik. Hasonlóan rövid határidőt szab a két érintett nemzetbiztonsági intézménynek a jogszabály arra is, hogy az „erőforrások átcsoportosításával” gondoskodjanak a zéró bizalmon alapuló védekezési elvhez illeszkedő új biztonsági architektúrák kialakításáról.
A mostani jogszabályban előirányzott, látszólag „semmibe nem kerülő”, tehát gyorsan és jelentősebb beruházások nélkül megvalósítható kiberbiztonság-növelő intézkedés, az NSA és a DHS szoros együttműködése keményebb dió lehet annál, mint aminek elsőre látszik. Az amerikai nemzetbiztonsági intézményrendszer ismerői szerint ugyanis, az ilyen roppant nagy hatáskörrel (magyarul tehát: hatalommal) rendelkező szövetségi hivatalok hajlamosak arra, hogy ellenálljanak az intézményi autonómiájukat csökkentő kezdeményezéseknek. Egy azonban biztos. Paul Nakasone tábornok, aki már eddig is jelentős hatásköröket és eszközöket (és természetesen az ezekkel együtt járó hatalmakat) birtokolt azzal, hogy egy személyben vezeti a legnagyobb méretű és jelentőségű hírszerző szervezetet, az NSA-t, és e mellett betölti az Egyesült Államok Kiberhadviselési Parancsnokságának (US Cyber Command) parancsnoki posztját is, a mostani jogszabállyal tovább erősítette kibervédelmi kulcsszerepét. A jogszabály azonban jól mutatja: a hatáskörrel feszítő kötelezettsége is párosulnak.
NSA to get binding operational directive authority under new cyber policy; Adam Mazmanian; FWC; 2022. január 19.
Biden signs memo to secure DoD, IC national security systems; Jaspreet Gill; Breaking Defence; 2022. január 19.
Fact Sheet: President Biden Signs National Security Memorandum to Improve the Cybersecurity of National Security, Department of Defence and Intelligence Community Systems; The White House; 2022. január 19.
Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems; The White House; 2022. január 19.
