Joe Biden kiberbiztonsági irányelvei az utolsó pillanatokban
Joe Biden amerikai elnök négy nappal hivatalának elhagyása előtt egy átfogó kiberbiztonsági irányelvet adott ki, amely a kormányzati hálózatok megfigyelésének, szoftvervásárlásának, mesterséges intelligencia használatának és a külföldi hackerek büntetésének javítását célozza. A csütörtökön bemutatott, 40 oldalas végrehajtási parancs az utolsó kísérlet, hogy a Biden-adminisztráció elősegítse a mesterséges intelligencia biztonsági előnyeinek kihasználását, digitális személyazonosságokat vezessen be az amerikai állampolgárok számára, és megszüntesse azokat a hiányosságokat, amelyek lehetővé tették Kína, Oroszország és más ellenfelek számára, hogy folyamatosan behatoljanak az amerikai kormány rendszereibe.
Anne Neuberger, Biden nemzeti biztonsági tanácsadója a kibertér és a feltörekvő technológiák terén, a szerdai sajtótájékoztatón elmondta: “Az irányelv célja Amerika digitális alapjainak megerősítése, valamint az új adminisztráció és az ország sikeres jövőjének megalapozása.”
A Biden által kiadott irányelv középpontjában egy sor kötelezettség áll a kormányzati hálózatok védelme érdekében, amely a legutóbbi jelentős incidensekből, különösen a szövetségi vállalkozók biztonsági hiányosságaiból szerzett tanulságokon alapul. Az irányelv megköveteli a szoftvergyártóktól, hogy bizonyítsák, hogy biztonságos fejlesztési gyakorlatokat követnek, építve azokra a kötelezettségekre, amelyek 2022-ben jelentek meg Biden első kiber végrehajtási parancsának válaszaként.
A Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) felelősséget kap a biztonsági tanúsítványok ellenőrzéséért, és együttműködik a gyártókkal a problémák megoldásában. Az irányelv szigorúbb érvényesítést is előír, amely ösztönzi a Fehér Ház Nemzeti Kiberigazgatói Hivatalát, hogy a nem érvényesített tanúsítványokat a főügyészhez továbbítsa esetleges vizsgálat és büntetőeljárás céljából.
Az irányelv emellett nyolc hónapot ad a Kereskedelmi Minisztériumnak, hogy felmérje az üzleti közösség leggyakrabban használt kiberbiztonsági gyakorlatát, és ennek alapján iránymutatást adjon. Ezt követően ezek a gyakorlatok kötelezővé válnak azok számára a cégek számára, akik üzletelni kívánnak a kormánnyal.
Az irányelv másik része a felhőplatformok hitelesítési kulcsainak védelmére összpontosít, amelyek megsértése lehetővé tette Kína számára, hogy ellopja a kormányzati e-maileket a Microsoft szerveréről. A Kereskedelmi Minisztériumnak és az Általános Szolgáltatási Igazgatóságnak 270 nap áll rendelkezésére, hogy kidolgozzanak iránymutatásokat a kulcsok védelmére, amelyeket ezután 60 napon belül kötelezővé kell tenniük a felhőszolgáltatók számára.
Az irányelv a szövetségi ügynökségeket is arra kötelezi, hogy 2027. január 4-ig csak olyan IoT eszközöket vásároljanak, amelyek az újonnan bevezetett US Cyber Trust Mark címkét viselik. Ezzel a lépéssel a kormány meg kívánja védeni az ügynökségeket az olyan támadásoktól, amelyek az internetre csatlakozó eszközök hibáira építenek.
Az irányelv hangsúlyozza a mesterséges intelligencia biztonsági kockázatait és lehetőségeit is. Az irányelv előírja az Energiaügyi Minisztérium és a Belbiztonsági Minisztérium számára, hogy indítsanak el egy pilot programot az AI alkalmazására az energetikai infrastruktúra védelme érdekében, célul kitűzve a sebezhetőségek és javítások automatikus észlelését. A Védelmi Minisztériumnak pedig el kell indítania egy programot, amely “fejlett AI modellek” alkalmazására összpontosít a kiber védelemhez.
Érdekes tény: A mesterséges intelligencia képes az adatok elemzésére és a kiberfenyegetések előrejelzésére, ami segíthet a kormányoknak a kibertámadások megelőzésében.
Források: The Washington Post, Reuters, Cybersecurity and Infrastructure Security Agency
