Presidentti Joe Bidenin luoman uuden kyberturvallisuuspaneelin mukaan viime vuonna kaikkialla esiintyvästä ohjelmistosta löydetty tietokoneen haavoittuvuus on "endeeminen" ongelma, joka aiheuttaa turvallisuusriskejä mahdollisesti vuosikymmenen tai pidemmänkin ajan.
- Kyberturvallisuuden arviointilautakunta sanoi raportissa torstaina, että vaikka ei ole ollut merkkejä mistään merkittävästä kyberhyökkäys Log4j-virheen vuoksi sitä "hyödytetään vielä vuosia".
"log4j on yksi historian vakavimmista ohjelmistohaavoittuvuuksista", hallituksen puheenjohtaja, Department of Homeland Security alisihteeri Rob Silvers sanoi toimittajille keskiviikkona.
Viime vuoden lopulla julkistettu Log4j-virhe mahdollistaa Internet-pohjaisten hyökkääjien helposti hallita kaiken teollisuuden ohjausjärjestelmistä web-palvelimiin ja kulutuselektroniikkaan. Ensimmäiset ilmeiset merkit vian hyväksikäytöstä ilmestyivät vuonna Minecraft, erittäin suosittu Microsoftin omistama online-peli.
Virheen löytö sai hallituksen virkamiehiltä kiireellisiä varoituksia ja kyberturvallisuuden ammattilaisten massiivisia ponnisteluja haavoittuvien järjestelmien korjaamiseksi.
Hallitus sanoi torstaina, että "hieman yllättävästi" Log4j-virheen hyödyntäminen oli tapahtunut alhaisemmalla tasolla kuin asiantuntijat ennustivat. Hallitus sanoi myös, ettei se ollut tietoinen mistään "merkittävistä" Log4j-hyökkäyksistä kriittisen infrastruktuurin järjestelmiin, mutta totesi, että jotkut cyberattacks jää ilmoittamatta.
Hallitus sanoi, että tulevat hyökkäykset ovat suurelta osin todennäköisiä, koska Log4j on rutiininomaisesti sulautettu muihin ohjelmistoihin ja organisaatioiden voi olla vaikea löytää järjestelmissään.
"Tämä tapahtuma ei ole ohi", Silvers sanoi.
Java-ohjelmointikielellä kirjoitettu Log4j kirjaa käyttäjien toimintoja tietokoneille. Se on kourallisen vapaaehtoisten kehittämä ja ylläpitämä avoimen lähdekoodin Apache Software Foundationin alaisuudessa, ja se on erittäin suosittu kaupallisten ohjelmistokehittäjien keskuudessa.
Kiinan teknologiajätin turvallisuustutkija Alibaba ilmoitti säätiölle 24. marraskuuta. Korjauksen kehittäminen ja julkaiseminen kesti kaksi viikkoa. Kiinan tiedotusvälineet kertoivat, että hallitus rankaisi Alibaba koska ei ilmoittanut virheestä aiemmin valtion viranomaisille.
Hallitus totesi torstaina löytäneensä "huolestuttavia elementtejä" Kiinan hallituksen haavoittuvuuksien paljastamista koskevassa politiikassa, koska se voisi antaa Kiinan osavaltion hakkereille mahdollisuuden nähdä varhaisessa vaiheessa tietokonepuutteita, joita he voisivat käyttää ilkeisiin keinoihin, kuten liikesalaisuuksien varastamiseen tai toisinajattelijoiden vakoilemiseen. Kiinan hallitus on pitkään kiistänyt väärinkäytökset kyberavaruudessa ja kertonut hallitukselle, että se kannustaa parantamaan tietojen jakamista ohjelmistojen haavoittuvuuksista.
Hallitus tarjosi useita suosituksia Log4j-virheen seurausten lieventämiseksi sekä kyberturvallisuuden parantamiseksi yleisesti. Se sisältää ehdotuksen, että yliopistot ja yhteisöopistot tekevät kyberturvallisuuskoulutuksesta pakollisen osan tietojenkäsittelytieteen tutkinto- ja sertifiointiohjelmia.
Cyber Safety Review Board on mallinnettu lento-onnettomuuksia ja muita suuronnettomuuksia tarkastelevan National Transportation Safety Boardin mallin mukaan, ja se valtuutettiin Bidenin viime toukokuussa allekirjoittamalla toimeenpanomääräyksellä. 15-jäseninen hallitus koostuu FBI:stä, National Security Agencystä ja muista valtion virkamiehistä sekä yksityisen sektorin henkilöistä. Jotkut uuden hallituksen kannattajat kritisoivat DHS:ää siitä, että sen saaminen käyttöön kesti niin kauan.
Bidenin toimeenpanomääräys määräsi hallituksen suorittamaan ensimmäisen katsauksensa Venäjän massiivisesta kybervakoilukampanjasta. SolarWinds. Venäläiset hakkerit onnistuivat murtautumaan useisiin liittovaltion virastoihin, mukaan lukien DHS:n korkeimpien kyberturvallisuusviranomaisten tilit, vaikka kampanjan koko seuraus on edelleen epäselvä.
Silvers sanoi, että DHS ja Valkoinen talo olivat yhtä mieltä siitä, että Log4j-virheen tarkistaminen hyödynsi paremmin uuden hallituksen asiantuntemusta ja aikaa.
