Wat Trumps eerste paar weken van stormloop betekenen voor cyberrisico's

Minder dan een maand van de nieuwe Trump-regering moet voor cyberrisicoprofessionals aanvoelen als een jaar. De president heeft met ongelooflijke snelheid gewerkt en een stortvloed aan uitvoerende bevelen uitgevaardigd die een ongekende impact hebben gehad op de nationale veiligheid en risicoparaatheid.

Eén ding ligt ten grondslag aan veel van de maatregelen van de nieuwe regering, zegt Herbert Lin, Senior Research Scholar aan het Center for International Security and Cooperation van Stanford University. Hij is verrast door de agressieve anti-Biden-houding van de Trump-regering. "Hij wil gewoon alles kwijtraken wat ooit een vleugje Biden in zich had", zegt hij, en noemt het niveau van agressie "ongekend".

Deze aanpak is gevaarlijk, waarschuwt Lin, die in 2016 deel uitmaakte van de Commissie voor het verbeteren van de nationale cyberveiligheid van president Obama. Hij stelt dat het mensen die zich richten op duidelijke en actuele bedreigingen, kan wegjagen.

De nieuwe regering beëindigde in de begindagen alle lidmaatschappen van de adviescommissies van het Department of Homeland Security. Hieronder vallen ook de Cyber ​​Security Review Board (CSRB), een initiatief uit het Biden-tijdperk dat belast was met het analyseren van grote cyberincidenten en het aanbevelen van maatregelen om digitale verdedigingen te versterken. De CSRB was misschien wel het meest bekend omdat ze Microsoft over de kolen haalden nadat aanvalsgroep Storm-0558 interne ondertekeningssleutels van het bedrijf had overgenomen.

Zorgen over gegevensuitwisseling

Het Witte Huis van president Trump heeft ook drie leden van de Privacy and Civil Liberties Oversight Board (PCLOB) ontslagen die banden hadden met de Democraten. De raad was verantwoordelijk voor de herziening van het Transatlantic Data Privacy Framework (TADPF).

TADPF is de nieuwste versie in een voortdurende poging om gegevensuitwisseling tussen de VS en de EU te normaliseren. Het werd in 2023 door de EU geaccepteerd en verving het EU-VS Privacy Shield, dat het Hof van Justitie van de EU nietig verklaarde vanwege zorgen over Amerikaanse surveillancepraktijken.

NOYB, de Oostenrijkse non-profitorganisatie onder leiding van advocaat Max Schrems, waarschuwde dat het verwijderen van de drie Democraten het onmogelijk maakte voor het bestuur om het quorum te bereiken. Dit schakelt de PCLOB effectief uit totdat er nieuwe benoemingen zijn gevonden.

"We noemen het op dit punt onthoofd", aldus Cody Venzke, Senior Policy Counsel, Surveillance, Privacy, and Technology bij de American Civil Liberties Union. Een belangrijk onderdeel van de TADPF was de mogelijkheid voor EU-burgers om de onderschepping en het gebruik van hun communicatie en data door de Amerikaanse overheid aan te vechten. De raad hield toezicht op de Data Protection Review Court, die deze inspanningen leidde.

"Het is niet duidelijk of PCLOB in staat zal zijn om de certificeringen te behalen die vereist zijn door het dataprivacykader", waarschuwde Venzke. "Dat zal serieuze vragen oproepen aan beide kanten van de Atlantische Oceaan over de staat van grensoverschrijdende datastromen."

De afdeling overheidsefficiëntie

Misschien was een van de meest impactvolle uitvoerende bevelen wel die waarbij het Department of Government Efficiency (DOGE) werd opgericht. Toen Trump aantrad, was de wereld al op de hoogte van zijn plannen om Elon Musk te benoemen tot overheidsefficiëntie-tsaar, maar de daaropvolgende gebeurtenissen verbijsterden commentatoren.

Musks afdeling kreeg snel de controle over de computersystemen van meerdere federale agentschappen, met instemming van de door Trump nieuw benoemde en door de door de Republikeinen gecontroleerde Senaat bevestigde hoofden van die agentschappen.

Een van de eerste agentschappen op de lijst van DOGE was het ministerie van Financiën, dat de verwerking van overheidsfondsen controleert. Een ander was de Federal Aviation Authority. De nieuwe minister van Transport, Sean Duffy, legde uit dat DOGE's team van twintigers zich voorbereidde om "in te pluggen om ons luchtvaartsysteem te helpen upgraden". Systemen bij het ministerie van Energie en het ministerie van Arbeid werden op vergelijkbare wijze benaderd.

Veiligheidsgoeroe Bruce Schneier is ontsteld door de acties van DOGE. "Er is hier sprake van een nationaal veiligheidsrisico", zegt hij. "Het gaat om hun tactieken om mensen zonder veiligheidsmachtigingen data van beveiligde computers naar onveilige computers te laten verplaatsen en alle dingen die deze data kwetsbaarder maken. Hun tactieken zijn gevaarlijk voor de maatschappij."

In een opstel over de kwestie benadrukt Schneier drie veiligheidsimplicaties van deze acties. De eerste is het vermogen van externe actoren om dagelijkse systeembewerkingen te wijzigen (zoals het inhouden van fondsen). De tweede is de blootstelling van gegevens, die verder reikt dan de PII van miljoenen Amerikanen tot architectuurinformatie op enkele van Amerika's meest gevoelige computersystemen. Tot slot kunnen die operators de systemen zelf op onverantwoorde manieren wijzigen.

Een seismische AI-schok

Cybersecurity-operaties waren niet het enige gebied waarop Trump een U-bocht maakte over het beleid van de vorige regering. Drie dagen na zijn inauguratie ondertekende hij ook de Removing Barriers to American Leadership in Artificial Intelligence Executive Order. Deze order verving effectief Bidens eigen order van oktober 2023 over veilige, beveiligde en betrouwbare ontwikkeling en gebruik van AI, die Trump introk.

Venzke maakt zich zorgen, want hij stelt dat een hands-off-benadering van AI ertoe zou kunnen leiden dat een snel rijdende auto over de weg raast zonder dat er iemand achter het stuur zit.

"Deze regering gaat vol gas vooruit met AI, en dat roept grote zorgen op dat we zonder maatregelen mensen schade zullen berokkenen waar AI wordt gebruikt", waarschuwt hij, eraan toevoegend dat dit zou kunnen inhouden wie op watchlists wordt gezet en wie overheidsvoordelen ontvangt. "Alles zonder de rudimentaire waarborgen die de regering-Biden begon te leggen."

De nieuwe regering heeft zeker haar voet stevig op het gaspedaal. Maar als het gaat om cyberrisico's, maken tenminste enkele vooraanstaande commentatoren zich zorgen dat het gevaarlijk snel de verkeerde kant op gaat.