Kibermutaxassislar Oq uy tomonidan yaqinda chiqarilgan ijro farmonidan jiddiy xavotirda. Ushbu farmon hukumat foydalanadigan dasturiy ta'minotni himoya qilish, sezgir tarmoqlarga tahdid soluvchilarni jazolash, kvant kompyuterlar hujumlariga bardosh bera oladigan yangi shifrlash sxemalarini tayyorlash va boshqa mavjud nazorat mexanizmlari bo'yicha talablarni bekor qiladi.

6-iyun kuni e'lon qilingan mazkur ijro farmoni (IF) Prezident Jo Bayden tomonidan joriy qilingan bir qator muhim kiberxavfsizlik buyruqlarini bekor qiladi, ba'zilari hatto Baydenning prezidentlik muddati yanvar oyida tugashidan bir necha kun oldin qabul qilingan edi. Donald Trampning ijro farmoniga ilova qilingan bayonotda aytilishicha, Baydenning direktivalari "kiberxavfsizlik siyosatiga muammoli va chalg'ituvchi masalalarni yashirincha kiritishga urinish" bo'lib, "siyosiy o'yin" dan boshqa narsa emas edi. Bu o'zgarishlar, ayniqsa, Milliy xavfsizlik va mudofaa sohasidagi kiberxavfsizlik siyosatiga sezilarli ta'sir ko'rsatishi kutilmoqda.

Biznes tarafdori, tartibga solishga qarshi

Tramp bekor qilgan yoki yumshatgan aniq buyruqlar quyidagilarni o'z ichiga oladi:

• Kvant xavfsiz shifrlash texnologiyalari: Federal idoralar va pudratchilardan bozorga chiqarilishi bilan kvant-xavfsiz shifrlashga ega mahsulotlarni qabul qilishni majburiy qiluvchi talab bekor qilindi. Bu, kelajakda kvant kompyuterlarning rivojlanishi bilan mavjud shifrlash usullari zaiflashishi mumkinligini hisobga olgan holda, milliy xavfsizlik uchun muhim edi.

• Xavfsiz dasturiy ta'minotni ishlab chiqish doirasi (SSDF): Federal idoralar va pudratchilar tomonidan foydalaniladigan dasturiy ta'minot va xizmatlar uchun qat'iy SSDF joriy etilishi talabi yumshatildi. Bu talab dasturiy ta'minot ta'minoti zanjiridagi hujumlarning oldini olishga qaratilgan edi.

• Fishingga chidamli tizimlar: Pudratchilar va idoralar tomonidan ishlatiladigan tarmoqlarga kirish uchun WebAuthn standarti kabi fishingga chidamli kirish mexanizmlarini qabul qilish majburiyati olib tashlandi. Bu, foydalanuvchi ma'lumotlarining o'g'irlanishi va tizimlarga ruxsatsiz kirishlarning oldini olishda muhim vosita hisoblanadi.

• Border Gateway Protocol (BGP) orqali internet yo'naltirishini himoya qilish: Internet trafikini yo'naltirishning asosiy vositasi bo'lgan BGPni himoya qilish uchun yangi vositalarni joriy etish talablari bekor qilindi. BGP zaifliklari butun internet segmentlarida trafikni boshqa tomonga burish imkoniyatini yaratadi, bu esa jiddiy xavfsizlik xavfini tug'diradi.

• Raqamli identifikatsiya shakllarini rag'batlantirish: Raqamli identifikatsiya hujjatlaridan foydalanishni rag'batlantirish siyosati bekor qilindi. Bu, zamonaviy jamiyatda raqamli xizmatlarga kirish va onlayn tranzaksiyalarning xavfsizligini oshirish uchun muhim qadam hisoblangan edi.

Ko'p jihatdan, ijro farmonlari nafaqat samarali siyosatni shakllantirish vositasi, balki siyosiy namoyish vositasi hamdir. Biroq, Baydenning kiberxavfsizlik bo'yicha direktivalari asosan ikkinchi toifaga, ya'ni samarali siyosatni yaratishga qaratilgan edi.

Xususan, xavfsiz dasturiy ta'minotni ishlab chiqish doirasi (SSDF) bo'yicha qoidalar 2020-yilda sodir bo'lgan halokatli SolarWinds ta'minot zanjiri hujumining oqibatlaridan kelib chiqqan edi. Bu voqea davomida Rossiya hukumati bilan bog'liq bo'lgan xakerlar keng qo'llaniladigan bulut xizmati SolarWinds tarmog'iga bostirib kirishgan. Ular g'arazli yangilanishni tarqatib, 18 000 dan ortiq mijozga, jumladan, federal hukumat pudratchilari va idoralariga yashirin eshik (backdoor) o'rnatishga muvaffaq bo'lishgan.

Bu hujum natijasida Savdo, G'aznachilik, Ichki xavfsizlik vazirliklari va Milliy sog'liqni saqlash institutlari komprometatsiyaga uchradi. Shuningdek, Microsoft, Intel, Cisco, Deloitte va FireEye kabi ko'plab xususiy kompaniyalar ham jabr ko'rdi. Bu voqea ta'minot zanjiri hujumlarining qanchalik halokatli bo'lishi mumkinligini yaqqol ko'rsatdi.

Bunga javoban, Baydenning ijro farmoni Kiberxavfsizlik va infratuzilma xavfsizligi agentligidan (CISA) federal hukumatga muhim dasturiy ta'minot sotadigan tashkilotlarning SSDF qoidalariga rioya etishini tasdiqlovchi "umumiy shakl" ni ishlab chiqishni talab qildi. Bu tasdiqlash kompaniyaning mas'ul xodimi tomonidan berilishi shart edi, bu esa mas'uliyatni oshirgan.

Trampning ijro farmoni bu talabni bekor qiladi va uning o'rniga Milliy standartlar va texnologiyalar instituti (NIST) ga SSDF uchun ma'lumotnoma xavfsizlik implementatsiyasini yaratishni topshiradi, biroq qo'shimcha tasdiqlash talabi bo'lmaydi. Yangi implementatsiya hukumatning mavjud SSDF ma'lumotnoma implementatsiyasi bo'lgan SP 800-218 o'rnini egallaydi, garchi Trampning ijro farmoni yangi ko'rsatmalarning SP 800-218 asosida shakllanishini talab qilsa ham.

Tanqidchilarning fikricha, bu o'zgarish hukumat pudratchilariga SolarWinds komprometatsiyasini keltirib chiqargan xavfsizlik zaifliklarini faol ravishda bartaraf etishni talab qiladigan direktivalardan qochish imkonini beradi. "Bu odamlarga "biz implementatsiyani nusxa ko'chirdik" deb o'z yo'llarini tekshirishga imkon beradi, ammo aslida SP 800-218dagi xavfsizlik nazorati ruhiga rioya qilmasdan", dedi Milliy xavfsizlik agentligining sobiq xakeri, hozirda Hunter Strategy kiberxavfsizlik firmasi tadqiqot va ishlanmalar bo'yicha vitse-prezidenti Jeyk Uilyams. "Juda kam tashkilotlar SP 800-218 qoidalariga amal qiladi, chunki ular ishlab chiqish muhitlariga ba'zi qiyin xavfsizlik talablarini qo'yadi, bu muhitlar odatda "Yovvoyi G'arb"ga o'xshaydi", deya ta'kidladi u.

Trampning ijro farmoni federal idoralar tomonidan kvant kompyuter hujumlariga zaif bo'lmagan shifrlash sxemalaridan foydalanadigan mahsulotlarni qabul qilish talablarini ham bekor qiladi. Bayden bu talablarni NIST tomonidan ishlab chiqilayotgan yangi kvant-chidamli algoritmlarni joriy etishni tezlashtirish maqsadida qo'ygan edi. Bu qadam, kelajakda kvant kompyuterlarining shifrlashni buzish qobiliyatiga ega bo'lishi ehtimolidan himoyalanish uchun juda muhim edi.

"Biz yakunda qattiq yo'nalish va ko'rsatmalarga ega bo'lmadik, vaholanki bizda shunday ko'rsatmalar juda kam edi", dedi kiberxavfsizlik boshqaruvi bo'yicha 30 yillik tajribaga ega Aleks Sharp. U va boshqa soha mutaxassislari, kvant-chidamli algoritmlarga o'tish hukumat va xususiy sanoat tomonidan qabul qilingan eng yirik texnologik qiyinchiliklardan biri bo'lishini ta'kidlashadi. Bu, o'z navbatida, butun dasturiy ta'minot to'plamlari, ma'lumotlar bazalari va boshqa mavjud infratuzilmani yangilash ishlariga qarshilik va qiyinchiliklarni keltirib chiqaradi.

"Endi majburiy ijro mexanizmi olib tashlanganligi sababli, ko'plab tashkilotlar bu masalani hal qilishga kamroq moyil bo'lishadi", dedi Sharp. Tramp, shuningdek, Davlat departamenti va Savdo vazirligidan asosiy xorijiy ittifoqchilar va xorijiy sanoatlarni NISTning PQC (Post-Quantum Cryptography) algoritmlarini qabul qilishga undash bo'yicha ko'rsatmalarni ham bekor qildi. Bu, AQShning global kiberxavfsizlik standartlarini belgilashdagi yetakchiligiga putur yetkazishi mumkin.

Ijro farmoni tomonidan belgilangan boshqa o'zgarishlar quyidagilarni o'z ichiga oladi:

• Kiberhujumlar uchun sanktsiyalarni bekor qilish: G'aznachilik departamentiga AQSh infratuzilmasiga kiberhujumlarda ishtirok etgan shaxslarga AQShda sanksiyalar qo'llashni taqiqlash. Oq uyning bu boradagi bayonotida, bu o'zgarish "ichki siyosiy raqiblarga nisbatan noto'g'ri foydalanish"ning oldini olishini ta'kidlangan. Bu, kiberjinoyatchilikka qarshi kurashda jiddiy to'siq bo'lishi mumkinligi aytilmoqda.

• BGP xavfsizligi bo'yicha talablarni olib tashlash: Internetdagi trafikni yo'naltirishning asosiy vositasi bo'lgan Border Gateway Protocol (BGP) "hujumga moyil" ekanligini e'lon qilgan tilni bekor qilish. Shuningdek, Savdo departamentidan NIST bilan hamkorlikda "amaliy jihatdan maqbul BGP xavfsizligi usullarini", masalan, Resource Public Key Infrastructure (RPKI) ni joriy etish bo'yicha ko'rsatmalar nashr etish va hukumat tarmoqlari va pudratchi xizmat ko'rsatuvchilar uchun Route Origin Authorizations (ROA) yaratish bo'yicha mavjud talablar ham bekor qilindi. Bu himoyalar banklar va boshqa muhim infratuzilmalarga tegishli IP manzillarini o'g'irlash va internet trafigini katta qismlarini boshqa tomonga burib yuborishga qaratilgan BGP hujumlari va nosozliklarining oldini olish uchun mo'ljallangan edi.

• Raqamli identifikatsiya hujjatlarini qo'llab-quvvatlashdan voz kechish: Bayden ma'muriyatining raqamli identifikatsiya hujjatlaridan foydalanishni rag'batlantirish rejalaridan voz kechish. Oq uyning bayonotida raqamli ID kartalarni joriy etish "noqonuniy muhojirlarga davlat imtiyozlaridan noto'g'ri foydalanish imkonini berib, keng ko'lamli suiiste'mollik xavfini tug'diradi" deb aytilgan. Bu, shuningdek, fuqarolar uchun qulay va xavfsiz raqamli xizmatlarni rivojlantirishga to'siq bo'lishi mumkin.

"Menimcha, bu yangi ijro farmonining umumiy mohiyati juda biznes tarafdori va tartibga solishga qarshi", dedi Uilyams. SSDF talablarini zaiflashtirishdan tashqari, u shunday dedi: "BGP xavfsizligi bo'yicha xabarlarni olib tashlash Internet-provayderlar uchun sovg'a bo'ladi, chunki ular bu muammo ekanligini bilishadi, ammo uni tuzatish qimmatga tushishini ham bilishadi." Bu o'zgarishlar, ba'zi ekspertlarning fikriga ko'ra, korxonalarga qisqa muddatli moliyaviy yengillik berishi mumkin, ammo uzoq muddatda milliy kiberxavfsizlik tizimini zaiflashtiradi.

Sharpning ta'kidlashicha, olib tashlangan talablarning aksariyati "juda mantiqli edi". Trampga ishora qilib, u qo'shimcha qildi: "U muvofiqlik yukidan gapiradi. Ammo muvofiqlik qilmaslik yukidan-chi?" Bu savol yangi siyosatning uzoq muddatli oqibatlari va xavfsizlik protokollariga rioya etmaslik natijasida yuzaga kelishi mumkin bo'lgan zararli oqibatlarga ishora qiladi. Mutaxassislar, bu qadamlar AQShning kiberxavfsizlik sohasidagi yetakchi mavqeiga putur yetkazishi va mamlakatni kelajakdagi murakkab kiberhujumlarga nisbatan zaiflashtirishi mumkinligidan ogohlantirmoqda.

Ushbu maqolaning oldingi versiyasida SolarWinds hujumida komprometatsiyaga uchramagan kompaniya noto'g'ri ro'yxatga kiritilgan edi.