Скасування указу Трампа щодо кібербезпеки

Головна — News — Скасування указу Трампа щодо кібербезпеки

Огляд нового виконавчого указу

6 червня 2025 року Біла палата видала масштабний виконавчий указ, який скасовує кілька основоположних директив у сфері кібербезпеки, запроваджених попередньою адміністрацією. Цей указ скасовує або пом’якшує вимоги, що стосуються безпечної розробки програмного забезпечення, квантово-стійкого шифрування, безпеки маршрутизації, захищеної аутентифікації та ініціатив цифрової ідентичності. Тепер державні установи, підрядники та приватний сектор стикаються з суттєво зміненими умовами дотримання вимог.

Квантово-стійке шифрування: Вимоги щодо впровадження алгоритмів, затверджених NIST, таких як CRYSTALS-Kyber для ключового інкапсуляції та CRYSTALS-Dilithium для цифрових підписів, були скасовані.
Рамки безпечної розробки програмного забезпечення (SSDF): Самоатестація федеральних установ за NIST SP 800-218 замінена на необов’язкову еталонну реалізацію.
Захищена аутентифікація: Вимоги щодо впровадження рішень другого фактора WebAuthn і FIDO2 пом’якшені.
Безпека маршрутизації BGP: Директиви щодо впровадження інфраструктури публічних ключів ресурсів (RPKI) та створення авторизацій походження маршрутів (ROAs) були скасовані.
Цифрова ідентичність: Плани заохочення використання мобільних водійських ліцензій та федеративних систем цифрової ідентичності були відкинуті.

X подає позов, щоб заблокувати закон про модерацію контенту в Нью-Йорку після перемоги в Каліфорнії

2025-06-17

Технічні наслідки

Зміни в рамках безпечної розробки програмного забезпечення

Згідно скасованого указу Байдена, CISA запровадила процес самоатестації, що вимагав від федеральних постачальників підтвердження відповідності чотирьом основним функціям SSDF, визначеним у NIST SP 800-218: Підготовка, Захист, Виявлення та Відповідь. Компанії мали сертифікувати через старшого посадовця, що вони впровадили моделювання загроз, практики безпечного кодування, аналіз складу програмного забезпечення (SCA), статичне тестування безпеки застосунків (SAST) та безперервну інтеграцію/безперервну поставку (CI/CD) з посиленням проти атак на ланцюг постачання. Новий указ доручає NIST опублікувати еталонні рекомендації без будь-якої атестації чи механізмів контролю. Критики попереджають, що це може призвести до формального дотримання вимог без реального підвищення рівня безпеки.

Скасування вимог до квантово-стійкої криптографії

Оригінальний указ президента Байдена мав на меті прискорити впровадження постквантової криптографії (PQC), зобов’язуючи агентства та їхніх підрядників переходити на затверджені NIST алгоритми після досягнення валідації Федеральних стандартів обробки інформації (FIPS). Обрані примітиви, такі як Kyber (KEM) і Dilithium (цифровий підпис), пройшли детальну оцінку, з вимірюванням рівнів безпеки проти алгоритму Шора та аналізом обчислювальних витрат. Скасувавши ці вимоги, адміністрація позбавляє можливості контролю за переходом стеків шифрування TLS, VPN та баз даних на квантово-стійкі альтернативи, що затримує те, що багато експертів вважають одним з найбільших проектів криптопереходу з часів переходу від DES до AES.

Безпека BGP та маршрутизація Інтернету

Указ також виключає формулювання, що характеризує протокол прикордонних шлюзів (BGP) як вразливий, та скасовує вимоги для Міністерства торгівлі та NIST щодо публікації рекомендацій з впровадження RPKI та ROAs. Ці інструменти забезпечують криптографічну валідацію походження маршрутів в Інтернеті, щоб запобігти викраденню IP-префіксів та витокам маршрутів. Великі оператори мереж, які почали оновлювати прошивки маршрутизаторів для підтримки валідації походження та BGPsec, тепер можуть відмовитися або відкласти ці зусилля, що піддає критичну інфраструктуру ризику відключень та перехоплень, подібно до минулих резонансних випадків викрадення банківських і DNS-серверів.

Вплив на федеральну кібероборонну позицію

Скасування обов’язкових директив підриває здатність виконавчої влади впроваджувати стандартизовану безпеку в понад 100 міністерствах. Обов’язкова операційна директива CISA 22-01, яка вимагала щомісячного сканування вразливостей та щоквартальних вправ червоної команди, залишається в силі. Однак без узгодження зі стандартами безпечного кодування та квантово-стійкого шифрування, агентства зіткнуться з невідповідностями в підходах до моделювання загроз, частотах патчування та управлінні ризиками в ланцюгу постачання. Ця фрагментація послаблює ситуаційну обізнаність у федеральній мережевій екосистемі в час, коли складні супротивники експлуатують нульові вразливості та інструменти постійних загроз (APT).

Іграшки Mattel з штучним інтелектом: розвага чи цифрова загроза?

2025-06-17

Відповідь індустрії та стратегії пом’якшення

Ведучі постачальники хмарних послуг та підрядники оборонної промисловості адаптуються, створюючи добровільні рамки дотримання вимог. Наприклад, консорціум компаній на чолі з AWS, Google Cloud та Microsoft опублікував спільний документ, в якому детально описано енд-ту-енд конвеєр SSDF з автоматизованою інтеграцією SAST/DAST, відстеженням походження бінарних файлів за допомогою підписаних контейнерів та атестацією апаратного кореня довіри через модулі безпечної платформи (TPM) та ізольовані середовища Intel SGX. Кілька організацій планують продовжити приватні пілотні проекти PQC, інтегруючи квантово-стійкі бібліотеки TLS, такі як Open Quantum Safe (liboqs), у виробничі середовища до введення федеральних вимог.

Шлях до квантової міграції: технічні труднощі попереду

Перехід усієї IT-інфраструктури уряду на квантово-стійкі алгоритми пов’язаний із численними технічними викликами:

Сумісність: Забезпечення підтримки старих систем і вбудованих пристроїв для більших розмірів ключів та нових параметрів алгоритмів без зниження продуктивності.
Стандартизація: Завершення валідації FIPS, оновлення ANSI X9.82 для фінансових систем та узгодження зі стандартами ISO/IEC для глобальної взаємодії.
Операційні витрати: Управління гібридними крипто-режимами під час переходу, життєвим циклом сертифікатів та інфраструктурою ЦС, зберігаючи зворотну сумісність.
Продуктивність: Бенчмаркінг постквантових алгоритмів показує, що час інкапсуляції ключів до 10 разів повільніший, а розміри підписів на кілька кілобайт більші, ніж у ECDSA, що потребує апаратного прискорення.

Зміна заборони для 2 користувачів: технічний аналіз резервних копій Mig Flash

2025-06-17

Думки експертів

Джейк Вільямс, колишній хакер NSA та віце-президент з наукових досліджень в Hunter Strategy, попереджає, що скасування SSDF дозволяє лише формальне дотримання вимог, зазначаючи: “організації будуть копіювати еталонний код буквально, не забезпечуючи безпечні умови побудови, залишаючи критичні вразливості без уваги.”

Олекс Шарп, експерт з управління кібербезпекою, підкреслює, що перехід до квантової криптографії є “одним з найбільших переглядів криптографії в історії”, застерігаючи, що без контролю “багато агентств не пріоритизують оновлення шифрування, залишаючи дані під загрозою майбутніх атак декодування квантовими методами.”

Висновок

Новий виконавчий указ позначає значний поворот до дерегуляції в федеральній політиці кібербезпеки. Хоча прихильники стверджують, що це зменшує тягар дотримання вимог і прискорює закупівлі, експерти з безпеки попереджають, що усунення контролю ризикує підірвати стійкість у державних та приватних мережах. У міру зростання геополітичних напружень і розвитку можливостей квантових обчислень, відсутність обов’язкових стандартів для безпечного програмного забезпечення, цілісності маршрутизації та постквантового шифрування може залишити цифрову інфраструктуру США у вкрай вразливому стані перед загрозами нового покоління.