Biden scherpt de cyberbeveiligingsregels aan en dwingt Trump een keuze te maken


President Biden heeft donderdag een uitvoerend bevel uitgevaardigd waarin softwarebedrijven die hun product aan de federale overheid verkopen, moeten bewijzen dat ze ijzersterke beveiligingsfuncties bevatten die Chinese inlichtingendiensten, Russische ransomwarebendes, Noord-Koreaanse cryptocurrency-dieven en Iraanse spionnen kunnen dwarsbomen.

Maar het is onduidelijk of de regering-Trump, die uit is op deregulering, ook al belooft ze vooral China aan te pakken, zich aan de herziene cyberveiligheidsregels zal houden.

Het bevel, dat werd gegeven met nog vier dagen te gaan in de ambtstermijn van Biden, is het laatste in de vier jaar durende strijd van zijn regering om de Amerikaanse infrastructuur veilig te stellen en steeds ingenieuzere surveillanceoperaties te verslaan.

Maar na vier jaar van die dagelijkse, harde confrontatie – waar een groot deel van de nieuwe Koude Oorlog met China zich heeft afgespeeld – zijn de hackers meestal voorop gelopen. In de afgelopen twee jaar zijn er herhaaldelijk succesvolle Chinese inbreuken geweest op het elektriciteitsnet, de pijpleidingen van het land, het telecommunicatiesysteem en, de afgelopen weken, het ministerie van Financiën. Deze aanvallen hebben ertoe geleid dat de nieuwe regering-Trump heeft geklaagd dat de Amerikaanse verdedigingslinie nog steeds gemakkelijk wordt doorboord en dat haar afschrikkingsvermogen onvoldoende is.

Zoals dat van meneer Biden lijst met nieuwe regels en orders wordt langerwaarin zaken als het boren voor de oostkust en het verwijderen van Cuba van de terrorismelijst aan de orde komen, klagen de adviseurs van de heer Trump dat de huidige regering een woedende campagne voert om hen aan haar beleid en mandaten te binden.

Sommige zullen volgende week worden teruggedraaid, waardoor veel van Biden’s stappen niets meer zijn dan een opwindend politiek gebaar. Maar de nieuwe eisen op het gebied van cyberveiligheid voegen een rimpel toe aan dat debat, waardoor mogelijk een conflict kan ontstaan ​​tussen de belofte van de regering-Trump om te dereguleren en haar belofte om zich te verdedigen tegen Chinese indringers in Amerikaanse netwerken.

De nieuwe regels vereisen voor het eerst dat bedrijven bewijzen dat de software die ze aan de federale overheid verkopen, aan de basisvereisten op het gebied van cyberbeveiliging voldoen, en dat ze het bewijsmateriaal van die stappen publiceren. Ze noemen China’s “actieve en aanhoudende cyberdreiging tegen de Verenigde Staten” en golven van aanvallen van andere landen en criminele groepen.

Maar ondanks de vijftig pagina’s met eisen in het bevel, laat de heer Biden in wezen de aanpak van de regering varen om de particuliere industrie over te halen om te investeren in cyberbeveiliging via vrijwillige programma’s en publiek-private partnerschappen.

Hij en zijn assistenten zijn tot de conclusie gekomen dat de enige manier om bedrijven ertoe te bewegen strenge cyberbeveiligingsmaatregelen te treffen, is door die maatregelen te eisen en de bedrijven te dwingen hun exacte stappen openbaar te maken. Op die manier zal het, wanneer er weer een gênante inbreuk plaatsvindt, duidelijk worden of de bedrijven gaten in hun verdediging hebben geslagen.

Het nieuwe besluit zou de federale autoriteit over de softwaretoeleveringsketen uitbreiden. Het Witte Huis heeft, vaak gebruik makend van bestaande autoriteiten, al regels gesteld voor pijpleidingen, spoorwegen en ziekenhuizen.

Anne Neuberger, de plaatsvervangend nationaal veiligheidsadviseur voor cyber- en opkomende technologieën die leiding heeft gegeven aan deze beweging, vertelde woensdag aan verslaggevers dat het uitvoerend bevel, waar al vele maanden aan wordt gewerkt, ‘bedoeld was om het land op weg te helpen naar verdedigbare netwerken over de hele wereld’. overheid en de particuliere sector.”

Het was het gevolg van bittere ervaringen. Vier jaar geleden, toen de heer Biden nog de verkozen president was, waren de Russische spionageagentschappen was de code van SolarWinds binnengedrongeneen bedrijf dat netwerkbeheersoftware verkocht aan de overheid en Fortune 500-bedrijven. Toen SolarWinds die software eenmaal had bijgewerkt en onder zijn klanten had gedistribueerd, kreeg Rusland de mogelijkheid om bedrijfsgeheimen te stelen en toezicht uit te oefenen op federale instanties zoals het ministerie van Financiën en Handel.

De heer Biden hekelde de Russen, en zijn enige ontmoeting als president met president Vladimir V. Poetin, in Genève in 2021, ging grotendeels over Russische ransomware die Het bevriezen van de koloniale pijpleidingdat gas en olie levert langs de oostkust. Na die sessie drong mevrouw Neuberger er bij instanties binnen de overheid op aan om nieuwe eisen op te stellen voor bedrijven die zaken met hen doen, in de hoop het federale contractproces te gebruiken om veranderingen af ​​te dwingen in de manier waarop bedrijven hun software ontwikkelen.

Maar de inspanning ging niet ver genoeg. Bedrijven verklaarden dat hun producten aan de nieuwe voorwaarden voldeden, maar hoefden hun beweringen nooit te bewijzen. Toen hackers die banden hadden met een van de Chinese inlichtingendiensten onlangs het ministerie van Financiën binnendrongen en toegang kregen tot duizenden niet-geclassificeerde documenten, leken ze binnen te komen via software van de leverancier BeyondTrust. Federale functionarissen zeiden dat het bedrijf had voorgesteld dat het aan alle eisen op het gebied van cyberbeveiliging had voldaan, maar dat de nieuwe regelgeving het bedrijf zou hebben gedwongen deze stappen openbaar te maken.

“We vertelden bedrijven die software produceerden dat ze ons gewoon moesten vertellen dat ze het gebruikten”, zei mevrouw Neuberger over oudere federale regels. “Ik denk dat we de afgelopen vier jaar hebben gezien dat we eigenlijk bewijs nodig hebben.”

BeyondTrust heeft weinig over de episode gezegd, behalve korte verklaringen dat het “begin december 2024 maatregelen heeft genomen om een ​​beveiligingsincident aan te pakken” en “het beperkte aantal klanten op de hoogte heeft gesteld”. Hoe de inbreuk heeft plaatsgevonden, wil het bedrijf niet bespreken.

Ook hebben de grootste telecommunicatiebedrijven van het land niet veel gezegd over de manier waarop de Chinese inlichtingendiensten nieuwe, bijna niet-detecteerbare gaten in hun netwerken ontdekten. De ontdekking gaf toegang tot enkele van de meest geheime systemen van de regering voor het afluisteren van telefoons met gerechtelijk bevel, evenals tot de niet-gecodeerde gesprekken van de nieuwgekozen president Donald J. Trump en de nieuwgekozen vicepresident JD Vance. (Het is onduidelijk of de agentschappen die toegang hebben misbruikt.)

“In de nasleep van cyberaanvallen die de afgelopen vier jaar de krantenkoppen haalden, zoals het Chinese compromis over de cloud van Microsoft, het uitschakelen van een commercieel satellietbedrijf door Rusland en ransomware-aanvallers die ziekenhuizen dwongen operaties uit te stellen,” zei mevrouw Neuberger, “hebben we zeven jaar besteed Maandenlang werd elk hackincident zorgvuldig beoordeeld om te bepalen hoe de aanvallers precies door de poorten kwamen.”

De nieuwe regels zouden hoogstwaarschijnlijk geen verschil hebben gemaakt in de surveillanceoperatie tegen de telecommunicatiebedrijven, genaamd ‘Salt Typhoon’. Ze hadden mogelijk kunnen helpen het elektriciteitsnet en de waterleidingen te beveiligen tegen een ander soort hack die verband hield met China en die erop gericht was die systemen in de Verenigde Staten uit te schakelen om hulp aan Taiwan te ontmoedigen in het geval van een militaire actie boven het eiland.

Volgens de nieuwste richtlijnen zou elk bedrijf dat wordt betaald uit de ruim 100 miljard dollar die de federale overheid jaarlijks aan software besteedt, aan de eisen moeten voldoen. Overtreders kunnen worden doorverwezen naar het ministerie van Justitie voor civiele vervolging.

De nieuwe regels zouden ook eisen stellen aan ruimtesystemen, nadat Rusland een Europees satellietcommunicatiesysteem had uitgeschakeld door zijn modems op de grond aan te vallen.

Maar de uitvoering van het nieuwe bevel zal worden overgelaten aan de regering-Trump, die de deadlines zou moeten handhaven, te beginnen over ongeveer 120 dagen. Er zal dan een cruciaal moment aanbreken als bedrijven besluiten te testen of de heer Trump zich aan de deadlines zal houden.

Mevrouw Neuberger merkte op dat de regering-Biden veel regels en bevelen heeft overgenomen die zijn overgebleven van de vorige regering-Trump. Ze zei dat ze verwachtte dat de terugkerende regering ‘hetzelfde zou doen’. Maar dat is nauwelijks gegarandeerd.

En hoewel mevrouw Neuberger onlangs opmerkte dat het opbouwen van veerkracht in Amerikaanse netwerken een inspanning van twee partijen is geweest, heeft de nieuwe nationale veiligheidsadviseur, vertegenwoordiger Michael Waltz, veel meer gesproken over het reageren op China met offensieve cyberoperaties.

Dat geldt ook voor John Ratcliffe, de door Trump gekozen CIA-directeur. De heer Ratcliffe zei woensdag tijdens zijn bevestigende hoorzitting dat de Verenigde Staten getuige waren van een “invasie door onze digitale grenzen van over de hele wereld, in een paar seconden en een paar toetsaanslagen.” Hij voerde aan dat het vermogen van Amerika om dergelijke aanvallen af ​​te schrikken was gewankeld.

“Het afschrikkende effect moet zijn dat er gevolgen zijn voor onze tegenstanders als ze dat doen”, zei hij.



Source link