Američki zakon o kibernetičkoj sigurnosti i razmjeni informacija (CISA) iz 2015. godine je istekao bez zamjene ili proširenja usred haotičnog zatvaranja savezne vlade, ostavljajući sajber profesionalce u pravnom limbu i stavljajući globalnu saradnju na obavještajne podatke o prijetnjama u opasnost od zastoja.
Zatvaranje je stupilo na snagu u ponoć 1. oktobra nakon što kasnovečernji pokušaji da se dobije Kontinuirana rezolucija – koja bi finansirala američku vladu još nekoliko sedmica – nisu uspjeli proći kroz duboko podijeljeni Kongres.
Kontinuirana rezolucija bi uključivala proširenje CISA 2015. kako bi se političarima dalo dovoljno vremena da finaliziraju njegovu predloženu zamjenu, Zakon o široko rasprostranjenom upravljanju informacijama za dobrobit infrastrukture i vlade (Wimwig).
Zakon Wimwig je osmišljen da zameni CISA 2015 – ne treba se mešati sa Agencijom za sajber bezbednost i infrastrukturnu bezbednost, koja ima istu skraćenicu.
Kako je ranije izvijestio Computer Weekly, Wimwig je napredovao kroz Odbor za domovinsku sigurnost Predstavničkog doma početkom septembra. Međutim, sa samo nekoliko kratkih sedmica do pretećeg zatvaranja, i političkih razlika koje tek treba riješiti, upisivanje u statut na vrijeme uvijek je bilo teško.
Ipak, Kyle Dewar, izvršni savjetnik za klijente, federalni u Taniumu, stručnjak za sigurnost krajnjih tačaka i radnog opterećenja u oblaku, rekao je da postoje pozitivni znakovi da su se političari s obje strane američke političke podjele složili oko potrebe da se ona proširi ili zamijeni.
„Možete reći koliko je neko pitanje važno po njegovom bočnom kretanju kroz zakonodavne radnje“, rekao je. „Ono što me je impresioniralo u pogledu hitnosti je to što su uključili odredbu o produženju CISA 2015. u opcije za nastavak rješavanja.
“To u političkom okruženju potvrđuje da je ovo važno, iako može doći do neslaganja… Da nije važno, jednostavno bi pustili da nestane. Za mene to ukazuje na značaj proširenja CISA 2015.”
Cynthia Kaiser, bivša cyber liderica FBI-a koja sada radi kao viša potpredsjednica u Centru za istraživanje ransomware-a cyber kompanije Halcyon, rekla je da se nada da će obnova CISA 2015 – bez obzira na promjenu imena – biti dio svakog budućeg zakona o ponovnom otvaranju američke vlade.
Rekla je da čak može postojati i dobra strana kašnjenja, jer bi Kongres mogao poduzeti dodatne korake kako bi napravio više zdravorazumskih izmjena, u rasponu od pojašnjenja zakonske odgovornosti i zaštite privilegija, do bolje zaštite građanskih sloboda pojedinaca čiji se podaci mogu dijeliti pod njegovim pokroviteljstvom.
Kaiser je također rekao da je potrebno više jasnoće oko toga koje su savezne agencije odgovorne za primanje i djelovanje informacija koje su prijavljene vladi prema zakonu.
“Imperativ je da ne izgubimo iz vida duh onoga što je CISA 2015. trebala postići i što je apsolutno ostvarila tokom posljednje decenije: poboljšanje [the US’] cjelokupni sigurnosni položaj i zaštita naših najranjivijih od potencijalno razornih napada”, rekla je.
Neposredni uticaji
Ipak, ostaje činjenica da CISA 2015 za sada više ne postoji, a stručnjaci za sigurnost će početi primjećivati njegovo odsustvo u naredna 72 sata, kaže James Faxon, izvršni direktor i CISO u NukuDo, kompaniji za cyber vještine i obuku.
Osnovna odredba zastarjelog zakona bila je zaštita od odgovornosti, što znači da organizacije privatnog sektora koje dijele podatke o prijetnjama i obavještajne podatke u interesu javnih službi mogu to učiniti bez straha od sudskog postupka ako se neko, poput žrtve, usprotivi.
S obzirom da ove zaštite nestaju preko noći, Faxon je rekao da čelnici sigurnosti mogu očekivati da će organizacije biti znatno opreznije u pogledu onoga što dijele, što će stvoriti prepreke efikasnom odgovoru na incidente.
“[This] može stvoriti uslove za koje je jedna kompanija svjesna [an] pokušaj protivnika da iskoristi kritične sisteme, ali oklijeva da podijeli informacije s drugima zbog nedostatka zaštite od odgovornosti”, rekao je on.
Faxon je rekao da će dodatni pritisak zatvaranja vlade također opteretiti brzinu i koordinaciju odgovora vladinih agencija na sajber incidente, koji će se preliti na privatni sektor.
„Federalni timovi mogu biti sporiji u potvrđivanju i redistribuciji informacija, tako da će se kompanije više oslanjati na ISAC-ove, ISAO-ove i platforme dobavljača kako bi se informacije o prijetnjama kretale,” rekao je. „Ali ne učestvuju sve kompanije u ISAC-ovima ili ISAO-ima i kao rezultat toga mogu biti sporije u odgovoru dajući protivniku više vremena da izvrši strategiju napada.”
Dewar je rekao da i on očekuje da će vidjeti utjecaj na saradnju između vlade i privatnog sektora.
“Ako se nešto dogodi u divljini, ranjivost možemo unijeti iz otvorenih izvora, ali također možemo uporediti te podatke sa najavama iz CISA-e. Ta korelacija će biti degradirana. Ne mislim da će potpuno nestati, samo će biti drugačije”, rekao je.
“Svakako je zgodnije kada imate taj pouzdani izvor, a CISA je nevjerovatna organizacija koja radi mnogo dobrog posla, tako da je zaista od pomoći kada mogu potvrditi. To ima veliku težinu.”
Marc van Zadelhoff, izvršni direktor kompanije Mimecast za sigurnost e-pošte, izrazio je sličnu zabrinutost. „Bez zaštite CISA 2015, mnoge kompanije će oklevati da podele obaveštajne podatke o kritičnim pretnjama“, rekao je on.
“To bi moglo ostaviti CISO da nepravedno preuzme krivicu za napade izvan njihove kontrole. Ne bismo očekivali da će neko na recepciji spriječiti stvarnu vojsku da upadne u zgradu, pa zašto mislimo da osoba koja vodi IT sigurnost može zaustaviti napadače iz nacionalne države na mreži? Ipak, to je pozicija s kojom bi se CISO mogli suočiti u slučaju napada.”
Van Zadelhoff je također rekao da se ovaj rizik za razmjenu informacija proteže izvan granica SAD-a i naznačio da će prekid utjecati na kompanije i vlade širom svijeta.
“Usred eskalirajućih kampanja nacionalnih država, sporije dijeljenje informacija direktno će uticati na globalno povjerenje. Kao industrija, možemo očekivati sporije odgovore na napade, smanjenu saradnju među sektorima i više mogućnosti za iskorištavanje protivnika. Ovo bi trebalo da se tiče svake organizacije širom svijeta”, rekao je.
Popunjavanje praznina
Ipak, postoje načini na koje sajber zajednica još uvijek može popuniti praznine koje ističe istek CISA 2015. Dewar iz Tanium-a je ukazao na CISA-ine partnerske agencije, kao što su Nacionalni centar za sajber bezbjednost Ujedinjenog Kraljevstva (NCSC), ENISA u Evropskoj uniji i tako dalje, kao izvore tekućih obavještajnih podataka.
“Ovdje postoji prilika. [Given] Zbog globalne prirode sajber ratovanja, bilo bi arogantno reći da su NCSC ili drugi manjkavi ili da nisu u skladu sa CISA-inim standardom – svi jesu”, rekao je.
“Očekivao bih da sve agencije koje se bave ovom prilikom i daju najbolje što mogu sa svojim resursima. Svakako je izazov imati ovaj period poremećaja, ali nemam razloga da sumnjam da agencije širom svijeta nisu mogle pojačati i popuniti tu prazninu.”
A Halcyonova Kaiser je rekla da je kao cyber praktičarka u privatnom sektoru namjeravala za sada poslovati kao i obično.
“Halcyon posebno namjerava da nastavi dijeljenje informacija za sada kao da je zaštita CISA 2015 još uvijek na snazi, u dobroj namjeri očekujući neku vrstu obnove, i nadamo se da će drugi partneri u industriji na sličan način nastaviti s dijeljenjem kako bi osigurali kolektivnu zaštitu”, rekla je za Computer Weekly.
Gašenje povećava širi sajber rizik
Čak i bez isteka CISA 2015, šire zatvaranje vlade u Washingtonu DC će biti multiplikator rizika za cyber profesionalce svugdje, s organizacijama koje sklapaju ugovore sa saveznom vladom i opskrbljuju ih – bez obzira gdje se nalaze – u liniji pucanja aktera prijetnji koji žele iskoristiti poremećaj.
Brandon Potter, glavni službenik za tehnologiju i usklađenost u sajber konsultantskoj kući ProCircular, rekao je: “Jedan izuzetan rizik koji očekujemo su kašnjenja plaćanja ili čak suspenzije ugovora sa izvođačima ili partnerima federalnih agencija. Loša strana je da će dobavljači možda morati smanjiti svoje budžete, a to obično znači da se ulaganja u sajber sigurnost smanjuju u kratkom roku.
„Veći problem je što ove treće strane često imaju povećani pristup u vladinim okruženjima i često su ciljane kao sredstvo za dobivanje backdoor pristupa ovim zaštićenijim entitetima.”
Konkretno u SAD-u, Potter je također istakao vjerovatno ciljanje na službenike vlade koji su otpušteni od strane prevaranta koji iskorištavaju nesigurnost koja sada okružuje njihove plate i beneficije, kao i aktere nacionalne države koji su skloni da iskoriste njihovo nezadovoljstvo.
Rekao je da očekuje povećanje napada ransomware-a usmjerenih na kritičnu infrastrukturu i vladina tijela, koji potiču iz zemalja poput Rusije koje su aktivno radile na podrivanju američke demokratije u protekloj deceniji.
“To je duga igra sa malom i sporom upornošću. Ako sam ja akter prijetnje od nacionalne države s razumnim uporištem na mreži, moj cilj bi bio da nastavim dublje prodor i uspostavim višestruke oblike upornosti kako bih povećao dugovječnost i uspjeh misije”, rekao je Potter.
Potrebno je više glasova
Iako zatvaranje vlade nije neuobičajeno u SAD-u, zemlja je izbjegavala takvu pojavu skoro sedam godina, a posljednji takav incident dogodio se za vrijeme prve administracije predsjednika Trumpa u decembru 2018.
Najnovije zatvaranje dolazi u trenutku kada se Amerika bori da se izbori s duboko ukorijenjenim političkim i društvenim problemima i odražava sve fraktivnu prirodu nacionalnog diskursa u zemlji, pri čemu političari s obje strane brzo okrivljuju jedni druge.
Jedno posebno nestabilno područje neslaganja odnosi se na zdravstvenu zaštitu, Kongresni demokrati ulažu svoje glasove na održavanje subvencija za zdravstveno osiguranje kupljenih u skladu sa znamenitim Zakonom o pristupačnoj njezi bivšeg predsjednika Obame i poništavanje rezova na program Medicaid koje je napravila Trumpova administracija, na koji se oslanjaju milijuni predsjednikovih birača.
Prethodna zatvaranja izazvala su poremećaje širom SAD, sa vladinim programima i procesima bačenim u haos, letovima odgođenim, a nacionalnim parkovima primorani da zaključaju svoja vrata.