NSA perustaa uuden kyberturvallisuusosaston
La National Security Agency ilmoitti suunnitelmistaan perustaa kyberturvallisuusosasto vuoden 2019 aikana osana laajempaa aloitetta, jonka tarkoituksena on yhdistää sen hyökkäävä (LIO) ja puolustava (LID) kyberoperaatio.
NSA on ollut useiden vuosien ajan uudelleenjärjestelyjen kohteena, ja niiden soveltamisala on laajentunut kenraali Paul Nakasonen – nykyisen johtajan – johdolla. Keskusvakuutuspalvelu (CSS) – koska virasto lopulta menetti keskittymisensä kyberturvallisuuteen. Jälkimmäinen on siksi juuri ilmoittanut kyberturvallisuusosaston perustamisesta ja nimittänyt Anne Neubergerin sen johtajaksi oltuaan lähes 10 vuotta NSA:ssa.
Anne Neuberger, joka toimii tällä hetkellä NSA:n hallituksessa, oli ensimmäinen riskipäällikkö ja oli osa tiimiä, joka auttoi perustamaan Yhdysvaltain kyberkomento Vuonna 2009. Viimeksi hän valvoi NSA:n vaalien turvatoimia ennen vuoden 2018 vaaleja ja niiden aikana, jotka olisivat nähneet NSA:n ja USCYBERCOM tehostamaan ponnistelujaan Venäjän puuttumista vastaan ja parantamaan tietojen jakamista virastojen, kuten FBI:n ja DHS:n, kanssa, jotka vastaavat oikeudellisesta näkökulmasta.
Uusi kyberturvallisuusosasto korvaa NSA:n nykyisen tiedonvarmistusosaston. Tämä ilmoitus tulee kontekstiin, jossa yhä enemmän ääniä korostetaan sen vahvistamiseksi, että NSA ja USCYBERCOM on erotettava toisistaan. Nämä kaksi yksikköä eroavat toisistaan tehtävänsä, mutta ennen kaikkea laillisen auktoriteettinsa puolesta.
Marraskuussa 1952 perustettu kansallinen turvallisuusvirasto/Keskusvakuutuspalvelu (NSA/CSS) vastaa – Yhdysvaltain hallitukselle – kryptologiaan liittyvistä aiheista, jotka kattavat sekä sähköisen tiedustelupalvelun (SIGINT) että kyberturvallisuuden, mikä mahdollistaa tietokoneverkkojen (CNO) hyödyntämisen päätöksenteossa.
NSA on pitkään maan ainoa osaamiskeskus pystynyt kehittämään suuren määrän kyberavaruuteen liittyvää osaamista. Vasta vuonna 2008 Yhdysvallat arvioi kyberavaruuteen liittyviä riskejä. Parhaimmillaan tietämättömyys, pahimmillaan haavoittumattomuuden tunne, toiminta Buckshot Yankee paljastaa sen, mitä monet kutsuvat suurimmaksi kansallisen turvallisuuden uhkaksi, jonka maa on koskaan tuntenut.
Samalla kun kyberturvallisuustutkijoiden ja erikoistuneiden yritysten tutkille ilmestyi uusi haittaohjelma, Naton sotilasjohdon tietyistä koneista löydettiin erityisen virulentti versio kesäkuussa 2008. F-Secure-yhtiö on antanut lempinimen "Agent.btz", ja se johtaa Yhdysvaltojen kyky varmistaa tietokoneverkkojensa turvallisuus on kyseenalaistettu syvästi.
Operaatio Buckshot Yankee
Lähes neljä kuukautta myöhemmin, lokakuussa 2008, NSA:n analyytikot löysivät saman haittaohjelman erittäin kriittisten järjestelmien järjestelmistä. Salainen Internet Protocol Router Network, verkosto, jonka kautta arkaluontoiset tiedot valtio- ja puolustusministeriöistä sekä sisällä Yhteinen Maailmanlaajuinen tiedusteluviestintäjärjestelmä, verkko, jonka avulla Yhdysvaltain viranomaiset voivat välittää arkaluonteisia tietoja liittolaisilleen.
Ensi silmäyksellä yllättävää on, että nämä verkot ovat erillään Internetistä, eikä niillä ole periaatteessa mitään rajapintaa World Wide Webiin, mikä muodostaa "ilmavälin": fyysisen erotuksen, oletettavasti hermeettisen. Mutta "Agent.btz" -haittaohjelma oli jo näissä verkoissa ja välitti erittäin arkaluontoista tietoa ulkomaailmalle. Tämä tekniikka, jonka oletetaan suojaavan verkkoa kokonaan ulkopuolelta, ei ole virheetön ja, kuten usein tapahtuu, löytyy "tietokoneen ja tuolin väliltä".
Kuten Stuxnet, tämä haittaohjelma tuotiin tietoisesti tai ei, suojattuun verkkoon aiemmin tartunnan saaneen USB-avaimen kautta. Kun haittaohjelma on tunkeutunut kohdejärjestelmään, se leviää kapillaaritoiminnalla tartuttaen kaikki koneeseen kytkettävät irrotettavat laitteet.
Mutta toimiakseen Agent.btz:n oli kommunikoitava ulkoisen sponsorinsa kanssa. Ryhmäanalyytikko havaitsi nämä signaalit, jotka ovat konkreettisia todisteita haitallisesta toiminnasta Edistyneet verkkotoiminnot (ANO) NSA:sta, joka vastaa Yhdysvaltojen vihollisten televiestinnän valvonnasta (SIGNIT) ulkomailla (teoriassa vain siksi, että itse asiassa Edward Snowdenin paljastukset ovat suurelta osin tukeneet tapauksia, joissa Yhdysvaltain kansalaisia valvotaan kansallisella alueella).
Useita päiviä kestäneiden tutkimusten jälkeen ANO-operaattorit tulivat siihen johtopäätökseen, että tietoturvaloukkaus oli niin vakava, että se voisi siirtää sen amerikkalaisen turvallisuuslaitteiston korkeimmalle tasolle. 24. lokakuuta 2008 Richard C. Schaeffer Jr., silloinen NSA:n tietokoneverkkojen turvapäällikkö, ja kenraali Keith Alexander, viraston johtaja, osallistuivat turvallisuustiedotustilaisuuteen, jonka aikana he ilmoittivat ajankohdan presidentille George W. Bushille. – sitten jättämässä virkaa – kansliapäällikkö, apulaisulkoministeri sekä kongressin johtajat.
Seuraavien viikkojen aikana otettiin käyttöön kaikki kansallisen turvallisuusviraston keinot Agent.btz:n hillitsemiseksi, ellei poistamiseksi vahingoittamatta maan suojattujen verkkojen infrastruktuuria: c on operaation alku Buckshot Yankee tarkkaan ottaen.
Järjestelmien "puhdistuksen" lisäksi tiedustelupalveluoperaattorit menivät niin pitkälle, että ne irrottivat tartunnan saaneet koneet fyysisesti verkosta vaihtaakseen ne kokonaan tai vaihtaakseen suoraan kiintolevyt.
ANO:n lisäksi NSA käytti toista sen komponenttia, josta tuli myöhemmin kuuluisa, Räätälöidyt käyttötoimet (TAO). Tämä salainen yksikkö, joka on pitkälle erikoistunut loukkaaviin toimiin, on kehittänyt asiantuntemusta tietokonevakoilun tietojen hyödyntämisestä 1990-luvun alusta lähtien. Tämä asiantuntemus edistää suurelta osin haittaohjelmien muunnelmien löytämistä ja edistää uuden "aktiivisen" verkkosuojauksen oppia: kyberpuolustusta.
Joidenkin Yhdysvaltain virkamiesten mukaan Agent.btz-sivustolle annetun vastauksen luonne on ollut pitkän keskustelun kohteena Yhdysvaltain toimeenpano- ja sotilaskoneistossa. TAO olisi ehdottanut toimia sponsorin ja sen Command & Control -järjestelmän (C2 tai C&C) välittäjiksi tunnistettujen siviiliverkostojen neutraloimiseksi. Päätös luokitella haittaohjelma (kuten koko operaatio) "klassiseksi" vakoiluksi eikä varsinaiseksi hyökkäykseksi, mikä ei siis oikeuttanut aseellista vastausta ja vielä vähemmän kineettistä Yhdysvalloista.
Lopulta USB-avainten ja kaikkien irrotettavien levyjen käyttö kielletään väliaikaisesti kriittisistä järjestelmistä, mutta "potilasnollaa" - tietoturvaloukkauksen lähdettä - ei koskaan saada virallisesti vahvistettua, vaikka vahvat epäilyt ovat painaneet Venäjää.
Analysoimalla kaikkien Agent.btz-versioiden koodia ANO ja TAO pystyvät edelleen jäljittämään sen järjestelmiin, jotka on yhdistetty turvallisiin verkkoihin Afganistanista ja Irakista. Haittaohjelma pysyy aktiivisena vuoden 2009 alkuun asti, ennen kuin se lopulta julistetaan ei-aktiiviseksi ja se on hävitetty kaikista vaarantuneista verkoista.
Ratkaiseva oivallus
Buckshot Yankee ovat joka tapauksessa lisänneet todellista tietoisuutta kriittisten sotilasverkkojen haavoittuvuudesta. Laajemmasta näkökulmasta tarkasteltuna lähestymistapa viimeksi mainitun suojelemiseen on kuitenkin joutunut koetukselle ja joka on osoittanut tehottomuutensa toistuvan, tarkan ja teknisesti kehittyneen uhan edessä. Passiivinen suoja, "muuri", toisin sanoen kyberturvallisuus, on osoittanut kyvyttömyytensä kohdata kaikkia uhkia. Tämän uuden konfliktitilan läsnäolo ja virtuaalisuus tarkoittaa, että vaikutus ja yllätys ovat aina hyökkääjän puolella.
NSA:n toteuttama operaatio on siten vaikuttanut radikaalisti sen turvallisuuslähestymistapaan kyberavaruudessa. Suojauksen ei nyt saa olla enää vain passiivista (kyberturvallisuus) vaan myös aktiivista (kyberpuolustus) tai jopa ennakoivaa.
Agent.btz, jonka menestys on edelleen osoitettavissa sen aloittelijalle, on ollut erinomainen "katalysaattori" Yhdysvaltain turvallisuuslaitteiston mentaliteetin kehitykselle. Tarve aktiivisesti suojata kriittisiä verkkoja sekä strategisia infrastruktuureja Atlantin yli, on nyt erityisen huomion kohteena.
155 miljoonan dollarin budjetilla ja 750 työntekijällä perustettiin 31. lokakuuta 2010 uusi organisaatio: US Cyber Command tai USCYBERCOM. Tämä "vastaa toimintojen suunnittelusta, koordinoinnista, integroinnista, synkronoinnista ja toteuttamisesta puolustusministeriön tietoverkkojen toiminnan ja puolustuksen ohjaamiseksi, valmistautuu suorittamaan täyden spektrin kyberavaruuden sotilasoperaatioita mahdollistaakseen toiminnan kaikilla aloilla, varmistaakseen toimintavapauden Yhdysvaltoja ja sen liittolaisia kyberavaruudessa ja kieltävät sen vihollisiltaan."
Cyber Commandin luominen ei kuitenkaan antanut kaikkia vastauksia.
Useita perustavanlaatuisia kysymyksiä hienosti johtaa rakenteelliseen uudelleenjärjestelyyn, jota näemme tänään. Amerikkalaisten kyberavaruusoperaatioiden hallinta on ollut siviili- ja sotilasviranomaisten välisen keskustelun aiheena useiden vuosien ajan. Kuka on hyökkäysoperaatioista vastaava viranomainen? Onko hyökkääjän verkon neutralointioperaatio osa kyberpuolustusta vai hyökkäävää kybersotaa?
Itse asiassa NSA ja USCYBERCOM ryhmittyivät CSS:ään (Central Security Service) ja niitä johti sotilas. Aluksi tämä "kaksoishattu" oli järkevä, koska kyberavaruudessa toteutettavien sotilaallisten operaatioiden (Cyber Command domain) ja tiedusteluun liittyvien tietokoneverkkotoimintojen (NSA-alue) teknisten näkökohtien välillä oli perustavanlaatuinen samankaltaisuus. Kenraali Michael Hayden, CSS:n ensimmäinen johtaja, huomautti, että hyökkääviä operaatioita kyberavaruudessa ja signaaliälyä ei voida teknisesti erottaa toisistaan.
Tästä havainnosta syntyi ajatus yhdistää molemmista näistä alueista vastaavan organisaation komento. Pakollinen tarve luoda vankka kapasiteetti sotilaallisiin operaatioihin kyberavaruudessa motivoi viime kädessä päätöstä yhdistää nämä kaksi kokonaisuutta ja kehittää teknologioita ja tekniikoita tiiviissä yhteistyössä.
"NSA:lla on kyky suorittaa tällaisia toimia, USCYBERCOMilla on valtuudet", kenraali Michael Hayden.
Operaatio Gladiator Phoenix
Kesästä 2009 lähtien Pentagon alkoi kehittää sitouttamissääntöjä ja laajemmin oppia kybertyökalujen käytöstä.
Tästä pohdinnasta syntyi "toimeenpanomääräys", jonka mukaan vain USSTRATCOM ja USCYBERCOM saattoivat ohjata sotilasverkostojen toimintaa ja puolustusta kaikkialla maailmassa. Aluksi tämä koski tärkeitä yksityisiä tietokonejärjestelmiä Yhdysvalloissa.
Direktiivissä asetetaan tietty joukko lisäehtoja, jotka on täytettävä militarisoidun vastauksen käynnistämiseksi:
- Sen on oltava vihamielistä toimintaa, joka on suunnattu Yhdysvaltoihin, sen kriittiseen infrastruktuuriin ja/tai sen kansalaisiin;
- Siihen on liityttävä todennäköinen kuoleman, vakavan loukkaantumisen tai vahingon uhka, joka uhkaisi Yhdysvaltojen kansallista tai taloudellista turvallisuutta;
- Interventio on koordinoitava asianomaisten valtion virastojen ja taisteluyksiköiden kanssa.
- Toimenpiteet on rajoitettava tarvittavaan spektriin, jotta hyökkäys voidaan keskeyttää ja samalla minimoida sivuvaikutukset siviilikohteisiin.
Jatkuvat pyrkimykset päästä yhteisymmärrykseen sitoutumissäännöistä ja näiden kyberpuolustuksen ja hyökkäävän tietokonesodan (LIO) toimintojen johtamisesta epäonnistuivat. Lukuisten tiedustelulaitosten – CIA johdossa – ja sisäisen turvallisuuden ja oikeusministeriön painostuksesta kompromissiyritys uhrattiin virastojen välisten riitojen alttarille.
Keskustelu on jumissa USCYBERCOMin roolista ja siitä, kuinka pitkälle sen pitäisi pystyä toteuttamaan tehtäväänsä. Kysymys on sitäkin kriittisempi, kun on kyse kansallisella alueella sijaitsevista palvelimista.
Helmikuussa 2011toimeenpaneva määräys on allekirjoitettu. Tämä, jota on suurelta osin tarkistettu sen ensimmäisen version jälkeen, rajoittaa armeijan omien verkkojensa puolustamiseen ja voi poiketa tästä säännöstä vain presidentin nimenomaisella suostumuksella.
"Kaksoishattu" -järjestelmän tehottomuus
Suorana seurauksena NSA:n ja Cyber Commandin välisestä suhteesta, jonka komennot on uskottu yhdelle henkilölle (CSS:n johtajalle), tämän organisaation alkuperäinen motivaatio – jonka piti olla tilapäinen – oli sallia syntymässä oleva Cyber Komento hyödyntää NSA:n asiantuntemusta, valmiuksia ja kokemusta saavuttaakseen täyden toimintakykynsä.
Käytännössä suhde sallii yhden henkilön punnita kahden organisaation usein kilpailevia etuja, joiden vastuut kyberavaruudessa usein menevät päällekkäin ja jopa kannibalisoivat toisiaan. Presidentinhallitukset ovat tarkastelleet tätä yhteistä komentoa jatkuvasti sen alusta lähtien, ja asiantuntijat ovat esittäneet ristiriitaisia perusteita järjestelyn purkamisen ja jatkamisen puolesta.
Vaikka useimmat perusteet tämän järjestelmän lopettamiseksi keskittyvät USCYBERCOMin perustamisen onnistumiseen tai riskiin NSA:n toiminnalle ja kyvyille, suhteellisen vähän huomiota on kiinnitetty siihen, kuinka organisaation päällekkäisyys NSA:n kanssa vaikuttaa sotilaallisten operaatioiden jatkumiseen kyberavaruudessa.
mukaan officiel Cyber Command, "kahden organisaation välinen keskinäinen riippuvuus on mahdollistanut sen, että se on tottunut NSA:n toimistojen käytännöllisesti katsoen keskeytymättömään operatiiviseen ja logistiseen tukeen. Tämä syvälle juurtunut organisaation riippuvuus NSA:n tekniikoista ja prosesseista on muokannut pohjimmiltaan sitä, miten komento lähestyy kyberavaruusoperaatioita. Erityisesti USCYBERCOMista on NSA:n menettelytapoja ja kulttuuria hyödyntämällä tullut yhä enemmän riskejä välttelevä […] tarkistus- ja hyväksymisprosessien on muutettava paradigmaa.”
Jos Keskusvakuutuspalvelu NSA:n ja USCYBERCOMin yhdistäminen tänään on pystynyt kehittämään maailmassa ainutlaatuisia ominaisuuksia ja teknistä asiantuntemusta, mikä johtuu suurelta osin erittäin korkean tason teknikkojen välisestä tiiviistä yhteistyöstä. NSA:ssa on noin 30 000 sotilasta ja siviilihenkilöstöä ja yli 800 tohtoriopiskelijaa matematiikan, fysiikan ja tekniikan aloilta. NSA ja USCYBERCOM ovat ryhmittyneet yhteen Fort Meade -paikalla Marylandissa, ja ne ovat kehittyneet symbioottisesti kymmenen vuoden ajan, ja juuri tämä organisaatio on sittemmin tehnyt Yhdysvaltojen menestyksen sotilasoperaatioissaan ja tiedustelupalveluissaan (Olympic Games, Flame, DuQu ja Gauss erityisesti).
Tämä painaa nyt tämän kehityksen jatkuvuutta, jopa Yhdysvaltojen johtavaa asemaa kyberavaruudessa. Operation Gladiator Phoenix -operaatiossa aloitettua työtä on jatkettava, jotta NSA:n ja USCYBERCOMin välille saadaan aikaan selkeät hallintosäännöt, ja välimiesmenettely jää viime kädessä toimeenpanovallan vastuulle.
Tästä keskustelusta pitäisi syntyä Atlantin toisella puolella uusi oppi kyberavaruudessa toimivien toimien suorittamisesta. Jos Ranska on päättänyt erottaa kyberpuolustuksen (ComCyber), kyberturvallisuuden (ANSSI) ja tiedustelutoiminnan (DRM, DGSI ja DGSE) toisistaan; hyökkäävä tietokonetaistelu (LIO) on edelleen pääministerin vastuulla, ja se perustuu DGSE:n (DT-DGSE) sotilaallisiin voimavaroihin ja tekniseen ohjaukseen. Tietojen puute ei salli johtopäätösten tekemistä yhteistyön tehokkuudesta. On kuitenkin selvää, että kyberavaruuden eri ulottuvuuksien päällekkäisyys on todellinen haaste eri sidosryhmien välisen yhteistyön kannalta. Omaksumalla Yhdysvaltojen mallia läheisen mallin Ranska on toistaiseksi pystynyt säästämään kurjuudelta, erityisesti turvautumalla ihmisiin. Muista, että tietojärjestelmäturvallisuusviraston (ANSSI) ensimmäinen johtaja on ollut 1 lähtien DGSE:n tekninen johtaja.
Ei jää muuta kuin toivoa, että "Titi" on oppinut olemaan huomaamaton.
Jean Lebougre
Kybersodankäynnin asiantuntija