Hvad Trumps hvirvelvind de første par uger betyder for cyberrisiko
Indholdsfortegnelse:
Mindre end en måned af den nye Trump-administration må føles som et år for cyberrisikoprofessionelle. Præsidenten har arbejdet med en utrolig hastighed og udstedt en byge af ordrer, der har haft en hidtil uset indvirkning på den nationale sikkerhed og risikoberedskab.
Én ting understøtter mange af den nye regerings tiltag, siger Herbert Lin, Senior Research Scholar ved Stanford Universitys Center for International Security and Cooperation. Han er overrasket over Trump-administrationens aggressive anti-Biden holdning. "Han ønsker bare at slippe af med alt, der nogensinde har haft et strejf af Biden i sig," siger han og kalder aggressionsniveauet "hidtil uset".
Denne tilgang er farlig, advarer Lin, som tjente i præsident Obamas Kommission for Enhancing National Cybersecurity i 2016. Han foreslår, at det kunne fjerne folk, der fokuserede på klare og nærværende trusler.
Den nye administration opsagde alle medlemskaber på tværs af Department of Homeland Securitys rådgivende udvalg i sine tidlige dage. Disse omfatter Cyber Security Review Board (CSRB), et initiativ fra Biden-æraen, der har til opgave at analysere større cyberhændelser og anbefale foranstaltninger til at styrke det digitale forsvar. CSRB var måske mest berømt for at slæbe Microsoft over kullene efter angrebsgruppen Storm-0558s erhvervelse af interne signeringsnøgler fra virksomheden.
Bekymringer over dataudveksling
Præsident Trumps Hvide Hus fjernede også tre demokrat-tilknyttede medlemmer af Privacy and Civil Liberties Oversight Board (PCLOB), som hjalp med at gennemgå den transatlantiske databeskyttelsesramme (TADPF).
TADPF er den seneste iteration i en igangværende indsats for at normalisere dataudveksling mellem USA og EU. Det blev accepteret af EU i 2023 og erstattede EU-US Privacy Shield, som EU-Domstolen slog ned på grund af bekymringer om amerikansk overvågningspraksis.
NOYB, den østrigske nonprofit, ledet af advokat Max Schrems, advarede at fjernelsen af de tre demokrater gjorde det umuligt for bestyrelsen at opnå beslutningsdygtighed. Dette deaktiverer effektivt PCLOB, indtil der kan findes nye udnævnte.
"Vi har kaldt det halshugget på dette tidspunkt," sagde Cody Venzke, Senior Policy Counsel, Surveillance, Privacy, and Technology hos American Civil Liberties Union. En nøglekomponent i TADPF var EU-borgernes evne til at udfordre den amerikanske regerings aflytning og brug af deres kommunikation og data. Bestyrelsen førte tilsyn med Data Protection Review Court, som ledede disse bestræbelser.
"Det er ikke klart, om PCLOB vil være i stand til at deltage i de certificeringer, der kræves af databeskyttelsesrammen," advarede Venzke. "Det vil rejse alvorlige spørgsmål på begge sider af Atlanten om tilstanden af grænseoverskridende datastrømme."
Ministeriet for statslig effektivitet
Måske var en af de mest virkningsfulde bekendtgørelser den, der skabte Department of Government Efficiency (DOGE). Da Trump kom til embedet, var verden allerede klar over hans planer om at udnævne Elon Musk til regeringens effektivitetszar, men de efterfølgende begivenheder chokerede kommentatorerne.
Musks afdeling fik hurtigt kontrol over computersystemerne hos flere føderale agenturer med samtykke fra agenturchefer, der nyligt var udpeget af Trump og bekræftet af et republikansk-kontrolleret senat.
Et af de første agenturer på DOGEs liste var finansministeriet, som kontrollerer behandlingen af statslige midler. En anden var Federal Aviation Authority. Den nye transportminister Sean Duffy forklarede, at DOGE's team på 20-somethings forberedte sig på at "plugin til at hjælpe med at opgradere vores luftfartssystem". Systemer ved Department of Energy og Department of Labor blev på samme måde tilgået.
Sikkerhedsguruen Bruce Schneier er blevet forfærdet over DOGEs handlinger. "Der er en national sikkerhedsrisiko her," siger han. "Det handler om deres taktik med at få folk uden sikkerhedsgodkendelser til at flytte data fra sikre computere til usikre computere og alle de ting, der gør disse data mere sårbare. Deres taktik er farlig for samfundet.”
I en historie i spørgsmålet fremhæver Schneier tre sikkerhedsmæssige konsekvenser af disse handlinger. Den første er eksterne aktørers evne til at ændre den daglige systemdrift (såsom tilbageholdelse af midler). Den anden er dataeksponering, som strækker sig ud over millioner af amerikaners PII til arkitekturinformation på nogle af USA's mest følsomme computersystemer. Endelig kan disse operatører selv ændre systemerne på uansvarlige måder.
En seismisk AI Shakeup
Cybersikkerhedsoperationer var ikke det eneste område, hvor Trump U-vendte mod den tidligere administrations politikker. Tre dage efter sin indsættelse underskrev han også bekendtgørelsen om fjernelse af barrierer for amerikansk lederskab inden for kunstig intelligens. Denne ordre erstattede effektivt Bidens egen ordre fra oktober 2023 om sikker, sikker og troværdig udvikling og brug af kunstig intelligens, som Trump ophævede.
Dette bekymrer Venzke, som antyder, at en hands-off tilgang til AI kunne efterlade en hurtiggående bil karriere hen ad vejen uden nogen ved rattet.
"Denne administration er fuld fart på med AI, og det vækker dyb bekymring for, at uden autoværn vil vi skade folk, hvor AI bliver brugt," advarer han og tilføjer, at dette kan omfatte, hvem der bliver sat på overvågningslister, og hvem der modtager offentlige fordele. "Alt sammen uden nogen af de rudimentære sikkerhedsforanstaltninger, som Biden-administrationen var begyndt at fastlægge."
Den nye administration har bestemt foden solidt på gaspedalen. Men når det kommer til cyberrisiko, bekymrer i det mindste nogle bemærkelsesværdige kommentatorer sig for, at det går faretruende hurtigt i den forkerte retning.
