Mégis kinek a dolga az ICS-ek APT támadók elleni védelme?!
Az előző posztokban (itt, itt, itt és itt) a május 12-ei elnöki rendelet, valamint az ezzel foglalkozó CSIS esemény volt a téma. Ennek Anne Neuberger, a nemzetbiztonsági tanácsadó kibernetikai és új technológiákért felelős helyettese volt a vendége.
A kérdésnek aktualitást ad a valószínűsíthetően APT (Advanced Persistent Threat: fejlett és tartós – többnyire állami hátterű – fenyegetés) támadók által végrehajtott műveletek számának és súlyosságának dinamikus növekedése (lásd a közelmúltból pl. a SolarWinds/Orion, vagy a MS Exchange eseteket).
A címbéli kérdésre létezik egy rutinszerű, logikus válasz:
a biztonságtudatosság jegyében minden egyes felhasználónak kutya kötelessége – egyben eminens érdeke – önmaga védelme a kibertér felől érkező bármilyen fenyegetéssel, netán támadással szemben.
Ugyanakkor vannak olyan nézetek, hogy
állami szintű támadásokkal szemben állami szinten kell védekezni, az állam eszközeivel és erőforrásaival.
Ez utóbbi nézetnek az ad kétségkívül nem logikátlan alapot, hogy az APT támadók állami háttere olyan erőforrások biztosít számukra, melyekkel a célpont nem állami szervezetek, cégek megközelítőleg sem rendelkeznek, azaz eleve esélytelenek a megfelelő szintű védelem kiépítésére.
Az említett két nézetet vallók közötti polémia aktuálisan az USA-ban kezd élesedni. A villamosenergia-rendszer supply chain-t érő kiberfenyegetések miatt 2020. május 1-én kiadott elnöki rendelet (E.O. 13920, a továbbiakban: EO) komoly kötelezettségeket ró a villamosenergia-rendszer tulajdonosaira, létesítőire, üzemeltetőire. Az EO az érintettekben már eleve számos kérdést, kritikát is kiváltott. Ugyanakkor a supply chain elleni újabb támadások – leginkább a SolarWinds/Orion incidens – után még az sem kizárt, hogy az EO akár még szigorodhat is.
Az EO értelmében akár meglévő – de kockázatosnak ítélt – berendezések kötelező cseréje is felmerülhet. Pl. éppen ennek a horribilis költségei kapcsán jelenik meg egyre élesebben a jelzett dilemma.
Mint az előző posztban írtuk
az USA méreténél fogva az EO-ban foglaltak szükségképpen ki fognak hatni a globális supply chain-ekre, így előbb utóbb hazai hatásai is lehetnek.
Az állami érdekeltségek esetében egyértelmű a helyzet, mivel az esetleges majdani cserék és fokozott védelem valamennyi teendője és költsége nyilvánvalóan az államot terheli.
Nem ennyire egyértelmű a helyzet a nem állami érdekeltségek esetében. Vajon az esetleges cserék, de főleg a témánk szempontjából releváns – folyamatosan és jelentősen erősítendő – kibervédelem teendői és azok költségei kit terheljenek? Nyilvánvaló, hogy végső soron a fogyasztókat, mindannyiunkat, de azért nagyon nem mindegy, hogy mikor és hogyan…
És hogy a kérdés még izgalmasabb legyen,
még az sem kizárt, hogy a két válasz nem VAGY, hanem ÉS kapcsolatban lesz igaz.
Mert mint pl. a Világgazdasági Fórum honlapján olvasható, „…a kibertámadások fenyegetése túl nagy feladat ahhoz, hogy akár a kormányzat, akár a vállalkozások egyedül megbirkózzanak vele.”
Mi a véleményetek?
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.