Kibernetička sigurnost: Bijela kuća uvodi strategiju nultog povjerenja za savezne agencije

Bidenova administracija pušten na slobodu nova strategija kibernetičke sigurnosti za savezne agencije koja će pomaknuti vladu prema sigurnosnom modelu "nula povjerenja".

Plan od gotovo 30 stranica izlaže desetke mjera koje federalne agencije trebaju poduzeti u sljedeće dvije godine kako bi osigurale sustave i ograničile rizik od sigurnosnih incidenata. Vlada se još uvijek oporavlja od Skandal sa SolarWinds, u kojem su ruski hakeri proveli mjesece unutar državnih sustava u više američkih agencija.

Vidi također: DHS: Amerikanci bi trebali biti spremni na moguće ruske cyber napade

Vladine agencije imaju rok do kraja fiskalne godine 2024. za uvođenje mnogih mjera opisanih u plana, koji uključuje strožu mrežnu segmentaciju, provjeru autentičnosti s više faktora i raširenost šifriranje. Odjelima se daje rok od 60 dana, odnosno 120 dana da imenuju voditelje koji će provoditi mjere i klasificirati pojedine informacije na temelju osjetljivosti.

Bijela kuća rekao je rastuća prijetnja sofisticiranih kibernetičkih napada "naglasila je da se Savezna vlada više ne može oslanjati na konvencionalnu obranu temeljenu na perimetru za zaštitu kritičnih sustava i podataka."

„Strategija nultog povjerenja omogućit će agencijama da brže otkriju, izoliraju i odgovore na ove vrste prijetnji. Detaljnim opisom niza specifičnih sigurnosnih ciljeva za agencije, nova strategija poslužit će kao sveobuhvatna plan za prebacivanje savezne vlade na novu paradigmu kibernetičke sigurnosti koja će pomoći u zaštiti naše nacije. Ti su ciljevi izravno usklađeni s postojećim modelima nultog povjerenja i podržavaju ih", objasnila je Bijela kuća.

Taj je potez dio većeg napora da se osiguraju sustavi u zemlji koji je započeo prošle godine s izvršnom naredbom.

U rujnu je Bijela kuća objavila prvi nacrt strategije. Konačni nacrt uključuje uvide stručnjaka za kibernetičku sigurnost, tvrtki i neprofitnih organizacija.

Bijela kuća primijetila je da je nedavna Log4j ranjivost je "najnoviji dokaz da će protivnici i dalje pronalaziti nove prilike da uđu u vrata."

Direktorica Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) Jen Easterly rekla je da je nulto povjerenje ključni element za modernizaciju i jačanje vladine obrane.

"Dok naši protivnici nastavljaju tražiti inovativne načine za probijanje naše infrastrukture, mi moramo nastaviti temeljito transformirati naš pristup saveznoj kibernetičkoj sigurnosti", rekao je Easterly. "CISA će nastaviti pružati tehničku podršku i operativnu ekspertizu agencijama dok nastojimo postići zajedničku osnovu zrelosti."

Vidi također: CISA dodaje 13 iskorištenih ranjivosti na popis, 9 s datumom popravka 1. veljače

Brojne su organizacije podržale ovaj potez, napominjući da je savezna vlada morala ažurirati svoj sigurnosni stav i učiniti više kako bi zaključala određene sustave.

Phil Venables, CISO u Google Cloudu, rekao je da Google već dugo zagovara usvajanje moderne sigurnosti pristupa -- kao što je nulto povjerenje -- i podržao bi saveznu vladu "dok se upušta u nulto povjerenje putovanje."

Tim Erlin, potpredsjednik strategije u Tripwireu, nazvao je memorandum značajnim korakom naprijed za kibernetičku sigurnost u američkoj vladi. Napomenuo je, međutim, da je "nesreća" što strategija ne daje jasniju ulogu za jedno od ključnih načela za nulto povjerenje: praćenje integriteta.

"Dokumenti i CISA-e i NIST-a uključuju praćenje integriteta kao ključnu komponentu nultog povjerenja, ali OMB memorandum ne uključuje sličan tretman. Ovaj memorandum uključuje značajne zahtjeve i raspravu o otkrivanju i odgovoru krajnjih točaka (EDR), a pritom se izlaže riziku od pretjeranog oslanjanja na određenu tehnologiju", rekao je Erlin.

"EDR se već razvija u Upravljanu detekciju i odgovor (MDR) i Proširenu detekciju i odgovor. Tehnološki krajolik kibernetičke sigurnosti brzo se mijenja i postoji stvarni rizik da će agencije morati implementirati i pokrenuti zamijenjenu sposobnost."