Крайната десница плаши частната хакерска армия на Вашингтон
Проучването от страна на консервативните активисти и недоволството на ръководството пречат на плана на правителството да привлече елитни специалисти по сигурността в борбата срещу злонамерените хакери.
Някои от най-добрите експерти по киберсигурност в страната, които са помагали за защитата на критични мрежи, казват, че тихомълком се оттеглят от силно рекламирано правителствено партньорство, цитирайки разочарование от управлението му и натиск от страна на консервативни критици.
Агенцията за киберсигурност и сигурност на инфраструктурата стартира инициативата — известна като Joint Cyber Defense Collaborative — през 2021 г., за да привлече външни технологични професионалисти в борбата срещу бандите за киберпрестъпления и подкрепяните от държавата хакерски организации след поредица от високопоставени пробиви.
Центърът за споделяне на заплахи позволява на елитни корпоративни хакери бързо да обменят признаци на подозрителна дейност с правителството на САЩ и ИТ работници, защитаващи ключови части от икономиката, включително училища, водоснабдителни съоръжения, болници и тръбопроводи, за да реагират на или да предотвратят хакове. Участниците идват от технологични гиганти като Microsoft, Amazon и Google, както и от инфраструктурни оператори, чуждестранни правителства, нестопански организации и средни охранителни фирми.
Но петима външни специалисти по компютърна сигурност, участващи в JCDC, казаха пред POLITICO, че те и много колеги са спрели да допринасят или значително са намалили участието си.
JCDC „е мъртва от известно време“, каза Хуан Андрес Гереро-Сааде, старши технически анализатор в SentinelOne, охранителна фирма за милиарди долари, която участва в програмата.
Въпреки че много от техните оплаквания произтичат от начина, по който е организирана програмата, недоволството също така представлява друго косвено въздействие от твърденията на Доналд Тръмп за изборни измами през 2020 г., което сега заплашва да възпрепятства до голяма степен аполитичната работа по киберсигурността: усилията на CISA за борба с дезинформацията преди изборите през 2020 г. го направиха любима цел на консерваторите, които го обвиняват, че се опитва да цензурира възгледите им онлайн.
Въпреки че JCDC не играе никаква роля в модерирането на онлайн съдържание, засиленият контрол на CISA все повече е впримчил външните партньори на агенцията, карайки участниците в JCDC да се страхуват, че могат да бъдат хванати на прицела.
„Съществува огромен смразяващ ефект“, каза Марк Роджърс, основател на нестопанска група за киберотбрана, CTI-League, която работи с агенцията преди формирането на JCDC. „Сега има голямо безпокойство в индустрията за киберсигурност, че срещу нас се води лов на вещици.
Отдръпването създава особени проблеми за правителството, тъй като повечето мрежи в САЩ работят на хардуер и софтуер, които са частна собственост. Това означава, че CISA често трябва да разчита на технологични фирми и външни киберспециалисти, за да изпълни основния си мандат: защита на чувствителни правителствени данни и критична инфраструктура на САЩ от хакове.
Освен това идва в критичен момент за цифровата защита на страната. Четирима от висшите служители по киберсигурността на Вашингтон предупредиха законодателите в сряда, че китайските хакери агресивно навлизат в американската инфраструктура в подготовка за конфликт – и че публично-частното сътрудничество, специално JCDC, е от съществено значение за борбата с него.
„Това достигна критична точка, когато хората от частния сектор преоценяват дали искат да бъдат ангажирани с правителството“, каза Роджърс.
„Абсолютно се нуждаем от този тип сътрудничество“, каза старши анализатор на заплахите в охранителна фирма за половин милиард долара, който, подобно на други интервюирани за тази история, получи анонимност като условие да говори откровено по въпроса. „Но в момента CISA, JCDC е пожар в контейнера за боклук.“
Изпълнителният помощник-директор на CISA Ерик Голдщайн каза, че агенцията не е забелязала значително намаляване на външното участие в рамките на JCDC. Той също така твърди, че освен работата с външни анализатори за откриване на непосредствени заплахи, дългосрочните усилия на JCDC за планиране на киберотбраната с индустрията и агенции като NSA и ФБР остават силни.
Все пак Голдщайн каза, че външните партньорства са от съществено значение за ежедневното откриване на заплахи и CISA се стреми да намери начини да гарантира, че външните лица се чувстват подкрепени.
„Нетърпеливи сме да работим за среда, в която изследователите могат да допринесат за нашето общо благо и националната ни сигурност, без да се страхуват за собствената си безопасност“, каза той.
JCDC се роди след хакове от руски киберпрестъпни банди и свързани с Китай оператори, които причиниха хаос на голям газопровод, множество болници в САЩ и широко използвани пощенски сървъри на Microsoft. Идеята беше да се съчетаят техническите ресурси и експертизата на частния сектор с правните органи на правителството, свиквайки власт и разузнавателни прозрения.
Традиционно опасенията относно регулирането карат индустрията да се колебае относно споделянето на данни за заплахи с правителството. Федералните агенции също се борят да предават навременна информация извън стените си поради чувствителност около класифицираната информация. CISA, която е извън разузнавателната общност и няма регулаторен орган, рекламира своя JCDC като пробивно решение на тези дългогодишни проблеми.
Но нарастващата консервативна реакция към отделната работа на CISA кара участниците в JCDC да се притесняват. Дело пред Върховния съд, инициирано от републиканските главни прокурори, обвинява CISA в нарушения на Първата поправка заради усилията му да се бори с дезинформацията до голяма степен по време на пандемията Covid-19 и изборите през 2020 г., когато препрати съвети за измамите, получени от държавните и местните изборни органи, на компании като Facebook и X.
Трима изследователи от Станфордския университет, които помогнаха на CISA да се справи с дезинформацията, са изправени пред правни предизвикателства и онлайн тормоз. През декември основателите на CTI-League, включително Роджърс, получиха смъртни заплахи, след като медийни съобщения твърдяха, че са помогнали за усъвършенстването на предполагаемата стратегия за цензура на CISA - обвинение, което групата отрича.
Докладите предизвикаха две изслушвания в Камарата на представителите, ръководена от консерваторите, и вълна от тормозещи имейли, текстови съобщения и публикации в социалните медии срещу основателите и доброволците на групата.
CISA не е предложила никаква подкрепа на CTI-League след реакцията, казват членовете на CTI-League, въпреки че по-голямата част от работата на групата е била фокусирана върху защитата на болници и спешни отделения от кибератаки, а не борба с дезинформацията.
Това остави някои външни партньори неспокойни за това какво ще се случи, ако консервативните активисти се насочат към тях.
„Въпреки че CISA обичаше да назовава имена на частни работни групи за кредит на улицата, липсата на каквото и да е изявление относно CTI-лигата ме накара да се колебая относно бъдещи работни отношения“, каза Сайлъс Кътлър, анализатор на кибернетични заплахи, който участва самостоятелно в JCDC и работи за стартъпа за сигурност Stairwell.
Ръководител от многомилионна фирма за киберразузнаване каза, че инцидентът с CTI-League е накарал тяхната компания да отмени сделката за предоставяне на CISA на данни за заплахи за рансъмуер, които включват кодиране на данни и мрежи на жертвите, докато не бъде извършено плащане за изнудване.
„Наистина няма полза, която би оправдала по същество да заложим кариерата си на карта и да помогнем на тази агенция, която изглежда не иска да си помогне сама“, каза лицето. Те добавиха, че тяхната фирма ще продължи да споделя тези данни с други агенции и неправителствени партньори и ще обмисли разширяване на партньорството с CISA, ако предложи „значителна демонстрация на подкрепа за общността“.
Голдщайн от CISA не опроверга твърдението, че агенцията не е успяла да се свърже с изследователите на CTI-League. Той посочи, че работата на групата е предшествала JCDC, но като цяло той каза, че агенцията признава предизвикателствата, пред които са изправени нейните служители и външни партньори.
Полицията на окръг Арлингтън в момента разследва фалшиво обаждане на 911 срещу личната резиденция на директора на CISA Джен Истърли в края на декември. Въпреки че остава неясно дали инцидентът е бил политически мотивиран, измамните полицейски обаждания - известни като swatting атаки - се превърнаха в популярно оръжие за хакерски банди и дребни престъпници.
„Ние сме наясно, че твърде много изследователи вършат работата си под лична и професионална опасност“, каза Голдщайн.
Сътрудниците на JCDC също се съмняват дали програмата е ефективна поради структурата си.
Старшият анализатор на заплахите каза, че на CISA веднъж са й били необходими месеци, за да предаде сигнал, който тяхната компания е предала за предстояща атака с ransomware. Докато агенцията най-накрая се свърза, лицето каза, че жертвата, американска компания, вече е била ударена.
POLITICO не можа независимо да потвърди тази сметка, тъй като лицето отказа да даде идентифицираща информация за конкретната компания или времева линия на инцидента. Но те казаха, че тяхната фирма сега обикаля CISA, когато има данни за заплахи относно атаки на ransomware.
Друго голямо оплакване е, че на JCDC липсва технически талант от CISA: всеки човек, интервюиран за тази история, каза, че агенцията изглежда е разполагала с преобладаващо персонал от адвокати и специалисти по политиката, които могат да управляват отношенията с големи фирми, но не са ефективни при идентифицирането или анализиране на съвети, които им се предават чрез организиран от CISA Slack канал.
Един бивш служител на CISA каза, че само дузина от около 200 служители на CISA, работещи в JCDC, са технически специалисти - нещо, което е възпрепятствало работата му.
„JCDC е добър в отношенията с правителството“, твърди човекът. „Но той не отговаря на заявената си мисия“ да бъде авангарден център за борба с хакерите.
Голдщайн от CISA отхвърли тези твърдения. Технически експерти от други части на агенцията редовно допринасят за JCDC, каза той. Той също така каза, че изграждането на ефективни партньорства изисква разнообразен набор от умения и „първо работа с компанията на по-високо ниво на ангажираност“.
Голдщайн също така твърди, че JCDC продължава да помага на страната да смекчи някои от най-неотложните цифрови заплахи, включително сложна китайска кампания за проникване в инфраструктурата на САЩ и потенциално цифрово разпространение от войните в Газа и Украйна.
Брайън Уеър, бивш помощник-директор по киберсигурността на CISA, каза, че не е изненадан от разочарованието, което някои външни експерти по сигурността изпитват от JCDC.
Но Уеър, който напусна агенцията през 2020 г. и оттогава участва в инициативата от страна на индустрията, предупреди да не се прибързва с преценките, като се има предвид колко тежка е работата.
„Това не е лесно, няма наръчник за това“, каза той.
Следете актуалните новини с БЛИЦ и в Telegram. Присъединете се в канала тук
Последвайте ни
3 Коментара: