fehér ház biztonsági tájékoztató

Kiberbiztonsági tájékoztató és tanácsok a Fehér Ház részéről

IT

2022. március 21-én a Fehér Ház nyilatkozatot adott ki, amely az orosz oldalról érkező, cégeket és infrastruktúrát célzó potenciális kibertámadásokról figyelmeztetnek. A Fehér Ház honlapján megjelent egy összefoglaló kiberbiztonsági tájékoztató is („White House Fact Sheet”), amelyben a veszélyre való felhívás mellett a felkészülés lépéseiről is beszéltek nagy vonalakban.

Lentebb az eredeti összefoglaló tájékoztató fordítását találhatod, tartalmi változtatás nélkül. (Egy hosszú felsorolást listává alakítottam az olvashatóság miatt.***) A tájékoztató első fele az USA kibervédelmének megerősítésére tett lépéseket részletezi, a második felében viszont a területi és iparági hovatartozástól függetlenül hasznos informatikai biztonsági tanácsokat tartalmaz, amelyeket minden szervezetnek érdemes megfogadnia. Az eredeti anyag ezen a linken keresztül érhető el és ellenőrizhető:

https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/21/fact-sheet-act-now-to-protect-against-potential-cyberattacks/

“TÁJÉKOZTATÓ: Cselekedjen most, hogy védekezzen a potenciális kibertámadások ellen!

2022. március 21.

A Biden-Harris adminisztráció többször is figyelmeztetett annak a lehetőségére, hogy Oroszország ártó célú kibertevékenységet folytathat az Egyesült Államok ellen, válaszul az általunk bevezetett példátlan gazdasági szankciókra. Jelenlegi, gyarapodó információink szerint Oroszország a potenciális kibertámadások lehetőségeit kutatja.

Az adminisztráció az első naptól kezdve kiemelten kezeli a kiberbiztonsági védelem megerősítését, hogy nemzetünket felkészítse a fenyegetésekre. Biden elnök végrehajtási rendelete modernizálja a szövetségi kormány védelmét és javítja a széles körben használt technológia biztonságát. Az elnök egy köz- és magánszféra akciótervet indított a villamosenergia-, csővezeték és vízügyi ágazat kiberbiztonságának megerősítésére, valamint arra utasította a minisztériumokat és ügynökségeket, hogy a teljes meglévő kormányzati hatáskört használják fel az új kiberbiztonsági és hálózatvédelmi intézkedések meghozatalára. Nemzetközi szinten az adminisztráció*** 

  • több, mint 30 szövetségest és partnert gyűjtött össze, hogy együttműködjenek a ransomware-fenyegetések észlelésében és megzavarásában,
  • összehívta a G7 országokat, hogy felelősségre vonják a ransomware bűnözőket rejtegető nemzeteket és
  • lépéseket tett a partnerekkel és szövetségesekkel, hogy a károkozó tevékenységeket nyilvánosan a felelősökre hárítsa.

Munkánkat tavaly novemberben felgyorsítottuk az egyesült államokbeli vállalkozásoknak szóló, a potenciális fenyegetésekkel és a kiberbiztonsági védelemmel kapcsolatos átfogó tájékoztatókkal és tanácsadással, ahogy Vladimir Putin orosz elnök Ukrajna fokozta az agressziót Ukrajna további inváziója előtt. Az Egyesült Államok kormánya továbbra is törekszik arra, hogy erőforrásokat és eszközöket biztosítson a magánszektor számára, többet között a CISA Shields-Up kampányán keresztül, valamint mindent megteszünk a nemzet védelmében és a kibertámadásokra való reagálás terén. A valóság azonban az, hogy a nemzet kritikus infrastruktúrájának nagy részét a magánszektor birtokolja és üzemelteti, és a magánszektornak kell lépnie azon kritikus szolgáltatások védelme céljából, amelyekre minden amerikai támaszkodik.

Felszólítjuk a vállalatokat, hogy sürgősen hajtsák végre a következő lépéseket:

  • Tegyék kötelezővé a többlépcsős hitelesítés használatát a rendszereiken, hogy megnehezítse a támadók számára a rendszerbe való bejutást;
  • Telepítsenek modern biztonság eszközöket a számítógépeikre és eszközeikre, hogy azok folyamatosan keressék és kezeljék a fenyegetéseket;
  • Forduljon kiberbiztonsági szakembereihez annak biztosítása érdekében, hogy rendszerei frissítve, javítva és védve legyenek az összes ismert sebezhetőség ellen és módosítsa a jelszavakat a hálózaton, hogy a korábban ellopott hitelesítő adatok használhatatlanok legyenek a károkozó személyek számára;
  • Készítsen biztonsági másolatokat adatairól és gondoskodjon az olyan offline biztonsági másolatokról, amelyek elérhetetlenek a károkozó személyek számára;
  • Végezzen tréningeket és gyakoroltassa a vészhelyzeti terveit, hogy készen álljon a gyors reagálásra bármely támadás hatásának minimalizálása érdekében;
  • Titkosítsa adatait, hogy ne lehessen használni azokat, ha ellopnák őket;
  • Tanítsa meg alkalmazottait az olyan általános taktikákra, amelyeket a támadók emailben vagy weboldalakon keresztül használnak és buzdítsa őket arra, hogy jelentsék, ha számítógépeik vagy telefonjaik szokatlan viselkedést produkálnak, például rendellenes összeomlásokat vagy nagyon lassú működést; valamint
  • Kommunikáljon megelőző jelleggel az FBI helyi irodájával vagy a CISA regionális irodájával, hogy kapcsolatokat alakítson ki bármilyen kiberincidens előtt. Kérjük, bátorítsa az informatikai és biztonsági vezetőit, hogy látogassák meg a CISA és az FBI weboldalait, ahol technikai információkat és egyéb hasznos anyagokat találnak.

Arra is fókuszálnunk kell, hogy hosszú távon megerősítsük Amerika kiberbiztonságát.

A következőkre biztatjuk a technológiai és szoftvercégeket:

  • A biztonságot az alapoktól kezdve építse bele a termékeibe – legyen szerves része, ne csak utólagos, kiegészítő – hogy megvédd mind a szellemi tulajdonodat, mint pedig ügyfeleid magánszféráját.
  • Csak olyan rendszeren fejlesszen szoftvert, amely magas szinten biztonságos és csak azok számára hozzáférhető, akik ténylegesen az adott projekten dolgoznak. Ez sokkal nehezebbé teszi a behatolók számára, hogy rendszerről rendszerre ugorjanak és kárt okozzanak egy termékben vagy ellopják a szellemi tulajdonát.
  • Használjon modern eszközöket az ismert és potenciális sebezhetőségek ellenőrzéséhez. A fejlesztők a legtöbb szoftver sebezhetőségeit ki tudják javítani – ha tudnak róluk. Léteznek olyan automatizált eszközök, amelyek áttekintik a kódot és megtalálják a legtöbb kódolási hibát a szoftver kiadása előtt, illetve még mielőtt a károkozó személyek kihasználnák őket.
  • A szoftverfejlesztők felelősek a termékeikben használt összes kódért, beleértve a nyílt forráskódot is. A legtöbb szoftver számos különböző komponensből és könyvtárból készül, amelyek nagy része nyílt forráskódú. Bizonyosodjon meg arról, hogy a fejlesztők ismerik az általuk használt összetevők forrását (azaz eredetét) és rendelkezzenek a “szoftverösszetevők jegyzékével” arra az esetre, ha később kiderülne, hogy az egyik összetevő sebezhető, így gyorsan kijavíthatja azt.
  • Alkalmazza a nemzetünk kiberbiztonságának javításáról szóló elnöki rendeletben előírt biztonsági gyakorlatokat! (“Executive Order: “Improving our Nation’s Cybersecurity.”) Az említett rendelet értelmében az Egyesült Államok kormánya által vásárolt összes szoftvernek meg kell felelnie a biztonsági szabványoknak a felépítés és üzembe helyezés tekintetében. Javasoljuk, hogy kövesse ezeket a gyakorlatokat szélesebb körben.”

(A kép forrása.)

Doz

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük