Yhdysvaltain vanhempi armeijan komentaja on antanut huomattavan varoituksen ulkomaisten vastustajien koordinoiduista pyrkimyksistä vaarantaa Amerikan digitaalinen infrastruktuuri avoimen lähdekoodin ohjelmistojen haavoittuvuuksien avulla. Yhdysvaltain Cyber Command -komentajan komentaja kenraali Paul M. Nakasone todisti senaatin aseiden palvelukomiteassa, että Kiina ja Venäjä lisäävät aktiivisesti haitallisia koodia julkisesti saatavilla oleviin ohjelmistoihin, joita käytetään Yhdysvaltain kriittisten sektoreiden välillä.
Kohdennettu avoimen lähdekoodin ohjelmisto muodostaa toiminnan selkärangan amerikkalaisen infrastruktuurin monilla elintärkeillä aloilla. Kenraali Nakasone korosti, että Yhdysvaltain armeija, hallitus ja yksityinen sektori käyttää näitä vaarantuneita ohjelmia ”, luomalla systeemiset haavoittuvuudet. Avoimen lähdekoodin ohjelmiston luontainen avoimuus-kenen tahansa julkisesti saatavissa oleva ja muokattavissa-tekee siitä erityisen alttiiksi tällaiselle kansallisvaltioiden tunkeutumiselle huolimatta siitä, että se on laajalle levinnyt välttämättömät järjestelmät, mukaan lukien sähköverkot ja televerkot.
”Näemme sen monilla eri tavoilla”, Nakasone totesi kuulemisen aikana. ”Näemme vastustajamme, erityisesti Kiina ja Venäjä, [engaging] Haitallisen koodin asettamisessa avoimen lähdekoodin ohjelmistoihin. ” Yleinen korosti näiden peiteltyjen operaatioiden hienostunut luonne, jonka tavoitteena on luoda pysyviä tukiasemia amerikkalaisten digitaalisten ekosysteemien sisällä.
Tämä ilmoitus perustuu lisääntyneisiin huolenaiheisiin ohjelmistojen toimitusketjun turvallisuudesta tuhoisan 2020 SolarWinds Cyberattack -tapahtuman jälkeen. Tämä tapaus, joka johtuu Venäjän valtion tukemista hakkereista, vaaransi verkot useiden Yhdysvaltain valtion virastojen ja yksityisten yritysten välillä hyödyntämällä luotettavia ohjelmistopäivitysmekanismeja. Rikkomus paljasti perustavanlaatuiset heikkoudet siitä, kuinka organisaatiot tarkastavat kolmansien osapuolien ohjelmistokomponentteja.
Yhdysvaltain hallitus on lisääntynyt keskittymään ohjelmiston toimitusketjun turvaamiseen viime vuosina. Nämä huolenaiheet huipentuivat presidentti Bidenin toukokuun 2025 toimeenpanomääräykseen, joka määrätään kattavien kyberturvallisuusparannusten määräämisessä erityisissä säännöksissä toimitusketjun haavoittuvuuksia. Federal Hallitukselle myytyjen ohjelmistojen parannettujen ohjelmistojen turvallisuusstandardit loivat tiukempia raportointivaatimuksia tietoverkkotapahtumille.
Nakasone kuvasi nykyisen uhan olevan ”poikkeuksellisen vakavasti” korkeimmalla hallintotasolla. Cyber Command tekee laajasti yhteistyötä yksityisen sektorin kumppaneiden kanssa istutetun haitallisen koodin tunnistamiseksi ja neutraloimiseksi. ”Teemme erittäin tiivistä yhteistyötä yksityisen sektorin kumppaneidemme kanssa voidaksemme tunnistaa tämän”, hän vahvisti korostaen teollisuuden yhteistyön olennaista roolia kansallisessa verkkopuolustuksessa.
Yleinen vaatii erityisesti vahvistettuja suojatoimenpiteitä Amerikan ohjelmiston toimitusketjun ympärillä, merkitsemällä nykyiset suojatoimenpiteet riittämättömät hienostuneille kansallisvaltioiden toimijoille. Hän totesi, että vastustajat hyödyntävät nykyaikaisen ohjelmistokehityksen toisiinsa liittyvää luonnetta, jossa avoimen lähdekoodin komponentit integroidaan rutiininomaisesti kaupallisiin tuotteisiin ja valtion järjestelmiin ilman perusteellista turvallisuustarkastusta.
Nakasone kehitti haasteen globaaliksi mittakaavassa korostaen, että yksipuolinen toiminta olisi riittämätöntä. ”Tämä on globaali haaste, ja meidän on työskenneltävä yhdessä sen ratkaisemiseksi”, hän väitti puolustaen vahvistettuja liittoutumia kollektiivisesti digitaalisten uhkien torjumiseksi. Sekä Kiinan että Venäjän osallistuminen osoittaa strategisen lähentymisen kyberryhmien keskuudessa, joka vaatii koordinoitua kansainvälistä kyberturvallisuuspolitiikkaa ja tiedustelujen jakamista.
Turvallisuusanalyytikot huomauttavat, että avoimen lähdekoodin kompromissit edustavat vihamielisten maiden voimanmuotoa, mikä antaa heille mahdollisuuden kohdistaa samanaikaisesti tuhansia organisaatioita yhden pisteen haavoittuvuuksien avulla. Toisin kuin perinteiset kyberhyökkäykset, jotka vaativat yksittäistä verkon tunkeutumista, myrkytetyt ohjelmistokomponentit voivat jakaa haittaohjelmia automaattisesti kaikille käyttäjille rutiininomaisten päivitysten aikana.
Varoitus korostaa tietoverkkojen sodankäynnin kehittyvää luonnetta, jossa hyökkäykset tapahtuvat yhä enemmän ennen havaitsemista vaarantuneiden kehitystyökalujen ja ohjelmistoriippuvuuksien avulla. Kyberturvallisuusasiantuntijat huomauttavat, että tällaiset taktiikat heijastavat strategista siirtymistä kohti ”esiasetusta” ohjelmistoekosysteemeissä tulevaisuuden häiritsevien toimintojen mahdollistamiseksi.
Liittovaltion virastot kehittävät uusia kehyksiä ohjelmistojen eheyden validoimiseksi, mukaan lukien parannetut koodin allekirjoittamisvaatimukset ja ohjelmisto Bill of Materials (SBOM). Hallinto harkitsee myös avoimen lähdekoodin ylläpitäjien kannustimia parannettujen turvallisuuskäytäntöjen omaksumiseksi tunnustaen, että monet kriittiset hankkeet toimivat rajoitetuilla resursseilla huolimatta niiden laajasta käyttöönotosta kriittisessä infrastruktuurissa.
Kun uhkia Amerikan digitaalisille säätiöille jatkuu kehittymisessä, todistukset korostavat kiireellistä tarvetta kattaville strategioille, jotka yhdistävät hallituksen, yksityisen sektorin ja kansainväliset pyrkimykset turvata yhä monimutkaisempi ohjelmiston toimitusketjun maisema hienostuneiden kansallisvaltioiden uhkia vastaan.
Source: Pentagon: Ulkomaisten vastustajien hyökkäykset avoimen lähdekoodin ohjelmisto
