კიბერუსაფრთხოებამ ტრამპის ახალი აღმასრულებელი ბრძანებით დიდი დარტყმა მიიღო

გაუქმდა დებულებები უსაფრთხო პროგრამული უზრუნველყოფის, კვანტურ-მდგრადი კრიპტოგრაფიისა და სხვა საკითხების შესახებ.

კიბერუსაფრთხოების პრაქტიკოსები შეშფოთებას გამოთქვამენ თეთრი სახლის მიერ ცოტა ხნის წინ გამოცემული აღმასრულებელი ბრძანების გამო, რომელიც აუქმებს მთავრობის მიერ გამოყენებული პროგრამული უზრუნველყოფის დაცვის, სენსიტიური ქსელების კომპრომეტირებისთვის პასუხისმგებელი პირების დასჯის, კვანტური კომპიუტერების თავდასხმებისადმი მდგრადი ახალი დაშიფვრის სქემების მომზადებისა და სხვა არსებული კონტროლის მექანიზმების მოთხოვნებს.

6 ივნისს გამოცემული აღმასრულებელი ბრძანება (EO) აუქმებს პრეზიდენტ ჯო ბაიდენის მიერ დაწესებულ რამდენიმე მთავარ კიბერუსაფრთხოების ბრძანებას. Donald Trump-ის ბრძანების თანმხლებ განცხადებაში ნათქვამია, რომ ბაიდენის დირექტივები „ცდილობდა, პრობლემური და ყურადღების გამფანტველი საკითხები შეეპარებინა კიბერუსაფრთხოების პოლიტიკაში“ და „პოლიტიკურ ფეხბურთს“ წარმოადგენდა.

ბიზნესის მხარდამჭერი, რეგულაციების საწინააღმდეგო

კონკრეტული ბრძანებები, რომლებიც ტრამპმა გააუქმა ან შეარბილა, მოიცავდა შემდეგს: (1) ფედერალური სააგენტოებისა და კონტრაქტორებისთვის კვანტურ-უსაფრთხო დაშიფვრის მქონე პროდუქტების მიღების ვალდებულება; (2) ფედერალური სააგენტოების მიერ გამოყენებული პროგრამული უზრუნველყოფისა და სერვისებისთვის უსაფრთხო პროგრამული უზრუნველყოფის შემუშავების მკაცრი ჩარჩოს (SSDF) დაცვა; (3) ფიშინგისადმი მდგრადი რეჟიმების, როგორიცაა WebAuthn სტანდარტი, მიღება; (4) ინტერნეტ მარშრუტიზაციის უსაფრთხოების ახალი ინსტრუმენტების დანერგვა და (5) იდენტობის ციფრული ფორმების წახალისება.

უსაფრთხო პროგრამული უზრუნველყოფის შემუშავების ჩარჩოსთან დაკავშირებული დებულებები, მაგალითად, 2020 წლის SolarWinds-ის მიწოდების ჯაჭვზე გამანადგურებელი თავდასხმის შედეგად დაიბადა. ბაიდენის ბრძანება კიბერუსაფრთხოებისა და ინფრასტრუქტურის დაცვის სააგენტოს ავალდებულებდა, დაეარსებინა თვითდადასტურების „საერთო ფორმა“, რომლითაც ორგანიზაციები დაადასტურებდნენ SSDF-ის დებულებებთან შესაბამისობას.

ტრამპის ბრძანება ამ მოთხოვნას აუქმებს. კრიტიკოსების თქმით, ეს ცვლილება სამთავრობო კონტრაქტორებს საშუალებას მისცემს, თავი აარიდონ დირექტივებს, რომლებიც მათგან პროაქტიულად იმ ტიპის უსაფრთხოების ხარვეზების გამოსწორებას მოითხოვდა, რომლებმაც SolarWinds-ის კომპრომეტირება შესაძლებელი გახადა.

„ეს საშუალებას მისცემს ორგანიზაციებს, უბრალოდ მონიშნონ, რომ „იმპლემენტაცია დააკოპირეს“, ისე, რომ რეალურად არ დაიცვან SP 800-218-ში მოცემული უსაფრთხოების კონტროლის სულისკვეთება“, — განაცხადა ინტერვიუში Jake Williams-მა, ეროვნული უსაფრთხოების სააგენტოს ყოფილმა ჰაკერმა.

ტრამპის ბრძანება ასევე აუქმებს მოთხოვნებს, რომ ფედერალურმა სააგენტოებმა მიიღონ პროდუქტები, რომლებიც იყენებენ კვანტური კომპიუტერის თავდასხმებისადმი არამოწყვლად დაშიფვრის სქემებს.

„ძირითადად, მივიღეთ ნაკლებად მტკიცე მიმართულება და ნაკლები მითითება იქ, სადაც ისედაც ცოტა გვქონდა“, — თქვა Alex Sharpe-მა, რომელსაც კიბერუსაფრთხოების მმართველობაში 30-წლიანი გამოცდილება აქვს. ის და სხვა ინდუსტრიის ექსპერტები აფრთხილებენ, რომ კვანტურ-მდგრად ალგორითმებზე გადასვლა ერთ-ერთი უდიდესი ტექნოლოგიური გამოწვევა იქნება. „ახლა, როდესაც აღსრულების მექანიზმი მოიხსნა, ბევრი ორგანიზაცია ნაკლებად სავარაუდოა, რომ ამ პრობლემას გაუმკლავდეს“, — თქვა მან.

ბრძანებით გათვალისწინებული სხვა ცვლილებები მოიცავს:

• სახაზინო დეპარტამენტისთვის იმ პირების სანქცირების აკრძალვას აშშ-ში, რომლებიც აშშ-ის ინფრასტრუქტურაზე კიბერშეტევებში არიან ჩართულნი. თეთრი სახლის განცხადებით, ეს ცვლილება თავიდან აგვარიდებს „შიდა პოლიტიკური ოპონენტების წინააღმდეგ ბოროტად გამოყენებას“.

• იმ ფორმულირების გაუქმებას, რომელიც Border Gateway Protocol-ს (BGP) „თავდასხმისთვის მოწყვლადად“ აცხადებდა. ასევე გაუქმდა BGP-ს უსაფრთხოების მეთოდების დანერგვის შესახებ მითითებების გამოქვეყნების მოთხოვნები.

• Biden-ის ადმინისტრაციის გეგმების გაუქმებას ციფრული პირადობის დოკუმენტების გამოყენების წახალისების შესახებ.

„ვფიქრობ, ეს ძალიან ბიზნესის მხარდამჭერი, რეგულაციების საწინააღმდეგო მიდგომაა“, — თქვა Williams-მა ახალი ბრძანების ზოგად მიმართულებაზე.

Sharpe-მა თქვა, რომ წაშლილი მოთხოვნების უმეტესობა „ძალიან ლოგიკური იყო“. ტრამპზე მითითებით, მან დაამატა: „ის შესაბამისობის ტვირთზე საუბრობს. რას ვიტყვით შეუსრულებლობის ტვირთზე?“

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.