Joe Biden a szövetségi ügynökségek és vállalkozók számára szigorúbb kiberbiztonsági szabványokat ír elő egy új rendeletben, amelyet a következő napokban tesznek közzé, és amely a Reuters által látott rendelettervezet szerint olyan reformokat sürget, amelyek célja a kínaiakkal kapcsolatos ismételt kiberműveletek és kiberbűnözői műveletek kezelése.
A rendelet az amerikai kormány és kiberbiztonsági kutatócsoportok szerint Biden elnökségének utolsó napjaiban fog megszületni, mert az utóbbi időben több nagy horderejű, kínai kötődésű hackertámadás történt. A kínai kibertevékenység kritikus infrastruktúrát, kormányzati e-maileket, nagy távközlési cégeket és legutóbb az amerikai pénzügyminisztériumot vette célba.
Biden javaslata a tervezet szerint szigorúbb szabványokat ír elő a biztonságos szoftverfejlesztésre, a szabványok betartásának ellenőrzésére való képességet, valamint a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) számára a folyamat értékelésére szolgáló eljárást. A szállítóknak biztonságos szoftverfejlesztési dokumentációt kell majd benyújtaniuk, amelyet a CISA az ügynökség szoftvertanúsítási programján keresztül értékel és hitelesít. A tervezet szerint a „sikertelen hitelesítés” esetén az igazolásokat a főügyészhez lehetne továbbítani „megfelelő intézkedés céljából”.
Tom Kellermann, a Contrast Security kiberbiztonsági vállalat kiberstratégiáért felelős alelnöke szerint a szoftver-hitelesítési rendelkezések nem mennek elég messzire, de „üdvözli” a biztonságosabb szoftverfejlesztés ösztönzésére irányuló erőfeszítéseket. A rendelet által a végrehajtásra meghatározott határidők „önkényesnek” tűnnek, mondta, tekintettel a Kínából, Oroszországból és a nagy kiberbűnözői szindikátusoktól érkező fenyegetések azonnali jellegére. „Már itt vannak! Szó szerint a kritikus infrastruktúrát és az amerikai kormányzati ügynökségeket érintő lázadással állunk szemben, amelyet az oroszok és a kínaiak szítottak fel” — mondta Kellermann.
Biden új rendelete a felhőszolgáltatók által használt hozzáférési tokenek és kriptográfiai kulcsok biztonságos kezelésére vonatkozó iránymutatások kidolgozását is előírja. Kínai kötődésű hackerek 2023 májusában ezzel a módszerrel visszaélve jutottak hozzá az amerikai kormányzat vezető tisztviselői által használt e-mail fiókokhoz — közölte akkor a Microsoft.
Brandon Wales, a SentinelOne kiberbiztonsági vállalat kiberbiztonsági stratégiáért felelős alelnöke, aki korábban a CISA egyik vezető tisztviselője volt, a Reutersnek elmondta, hogy a rendelet az elmúlt öt év folyamatos munkájára épül, amelynek célja a képességek fejlesztése, a megfelelő hatóságok és a finanszírozás megszerzése. „Értelemszerűen továbbra is keresni kell a módját annak, hogyan lehet a legtöbbet kihozni az elmúlt két kormányzat alatt kiépített képességekből” — mondta Wales.
