USA's cybersikkerhedsstrategi øger ante mod angribere
Indholdsfortegnelse:
Kort efter udgav vi vores forhåndsvisning af US National Cybersecurity Strategy (NCS), afslørede regeringen det endelige dokument. Det indeholdt stærkere sprog end nogensinde, da det opfordrede virksomheder over hele USA til at styrke deres cybersikkerhed og viste også nogle indsigtsfulde tænkning designet til at tackle nogle langsigtede cybersikkerhedsproblemer i hjemmet og i udlandet.
Fokus på kritisk infrastruktur
Strategien adresserer sikkerhedsudfordringer på tværs af fem søjler, hvoraf den første er at forsvare kritisk infrastruktur. Det kræver en gulerod-og-stok tilgang til denne udfordring. På den ene side går det ind for strengere regulering, der vil gøre virksomheder mere ansvarlige for cybersikkerhed. Den anerkender imidlertid, at nogle sektorer er under-ressourcer i forhold til andre, og opfordrer tilsynsmyndigheder til at tage højde for niveauet af tilgængelige ressourcer, når de laver nye cybersikkerhedsregler.
Dokumentet parrer denne regulatoriske pind med incitamenter til gode langsigtede cybersikkerhedsbeslutninger. Disse incitamenter vil komme fra mekanismer, herunder satsfastsættelse og skattestrukturer, hedder det.
Holder tekniske leverandører og operatører ansvarlige
En anden søjle i NCS, om at forme markedskræfter til at understøtte cybersikkerhed, varsler også et skift i fokus. Det overfører ansvar fra det, det kalder de mest sårbare aktører i økosystemet (teknologibrugere) til de leverandører og operatører, der leverer teknologien. At holde sidstnævnte mere ansvarlig er et grundlæggende princip i strategien.
Disse operatører omfatter cloud service providers (CSP'er), som er stadig vigtigere i det teknologiske økosystem. Samme uge faldt NCS, fungerende national cyberdirektør Kemba Walden kaldet skyen "too big to fail". Cloud-tjenester er også lokale nok til, at angribere kan udnytte dem. Oversøiske modstandere bruger ofte deres infrastruktur til angreb, hvilket gør geoblokering og andre beskyttelsesforanstaltninger vanskelige.
Med dette in mente opfordrer NCS CSP'er til at tage mere ansvar for at vurdere og mindske risici for deres systemer. Det citerer Executive Order 13984, "At tage yderligere skridt for at imødegå den nationale nødsituation med hensyn til betydelige ondsindede cyberaktiverede aktiviteter". Dette dokument fra Trump-æraen opfordrede til bedre kundeidentifikation blandt CSP'er, men blev ikke håndhævet - indtil nu.
Dette nye fokus på ansvarlighed omfatter dem, der håndterer data og skaber software til at administrere dem. Det Hvide Hus ønsker lovgivning, der vil "sætte nationale krav til at sikre personlige data i overensstemmelse med standarder og retningslinjer udviklet af NIST." Dette er den klareste indikation til dato på ønsket om en stærk føderal lovgivning om beskyttelse af privatlivets fred og datasikkerhed, der beskytter forbrugerne snarere end et kludetæppe af love på statsniveau.
NCS efterlyser også lovgivning, der dækker softwareleverandører, som den siger undviger ansvar for usikker software i deres licensaftaler. Disse love vil håndhæve ansvar for softwareleverandører, der ikke overholder softwaresikkerhedsstandarder, der allerede er etableret af f.eks. NIST. Der ville dog være en safe harbor-aftale for dem, der gør det.
Går i offensiven
At forsvare indenlandske netværk og forbrugere er en del af strategien. En anden søjle, Disrupt and Dismantle Threat Actors, anbefaler mere aggression i at nedbryde angribernes systemer.
Denne tilgang retter sig mod hele det kriminelle økosystem, ikke kun angribernes botnet. Regeringen vil imødegå ransomware-angribere ved at forsøge at gøre deres ulovlige forretning mindre profitabel. Det betyder, at man fortsat målretter mod kryptovaluta-børserne, hvor de f.eks. Finansministeriet har allerede sanktioneret adskillige sådanne systemer, så dette artikulerer og fordobler en eksisterende tendens som mange andre dele af strategien.
Militæret vil spille en mere betydningsfuld rolle i dette angreb på angribernes økosystemer og skabe en ny strategi for at arbejde tættere sammen med civile agenturer om at målrette mod ondsindede aktører. Private virksomheder vil også spille en vigtig rolle. Regeringen har tidligere arbejdet med organisationer som Microsoft for at fjerne ondsindede netværk. Alligevel er det nu i gang med at skaffe virksomheder åbenlyst i sin kampagne for at nedkæmpe angribere. Det råder dem til at danne "friske, midlertidige celler" til målrettede operationer, der arbejder via en række non-profit cybersikkerhedsfokuserede hub-organisationer, der repræsenterer en grænseflade med de føderale myndigheder.
Hænder over havet
En del af denne offensive strategi involverer internationalt samarbejde, da så mange ondsindede aktører er i udlandet. Dokumentet afsætter en hel søjle til denne strategi, som er i gang. Det Hvide Hus allerede dannet Counter-Ransomware Initiative (CRI) for at bekæmpe ransomware i oktober 2021.
Problemet er, at Rusland, som er et paradis for ransomware-grupper, ikke er medlem af dette initiativ. Det er ét land, sammen med Kina, Nordkorea og Iran, som strategien kalder som en oversøisk trussel. For at imødegå disse modstandere i cyberspace, lover NCS at anvende internationalt diplomatisk pres og arbejde "sammen med vores allierede og partnere for at parre fordømmelseserklæringer med pålæggelse af meningsfulde konsekvenser."
Langsigtet tænkning
I stedet for et knæfald på cybertrusler rummer NCS noget mere langsigtet tænkning. Et eksempel er diskussionen om en mulig cyberforsikring bagstopper til at dække den slags katastrofale cyberbegivenheder, som World Economic Forum siger kommer. Dette er en reaktion på voksende spændinger mellem forsikringsselskaber og kunder over de stigende omkostninger ved cyberhændelser.
Andre langsigtede handlinger ligger under en separat søjle kaldet Invest in a Resilient Future. Disse omfatter en ny national cyberarbejdsstyrke og uddannelsesstrategi for at kompensere for manglen på cybersikkerhedsfærdigheder i USA og et initiativ til at bygge bedre digitale identitetsløsninger, bekæmpelse af den nuværende pandemi med identitetstyveri. Denne søjle opfordrer også til at sikre digitale forsyningskæder og tænker fremad i en post-kvanteverden, der kræver løsninger, der kan forbinde data, når kvantecomputere truer eksisterende kryptografiske metoder.
Dette strategidokument er en prisværdig indsats for at tænke intelligent over nutidens problemer og samtidig holde et vågent øje med morgendagens. Problemet er som altid udførelsen. Den udøvende magt kan kun gøre så meget på egen hånd for at realisere disse ambitioner. NCS indrømmer, at den er afhængig af den lovgivende magt til at presse mange af disse ændringer igennem.
