Η Cyber security and Infrastructure Security Agency (CISA) εξέδωσε δεσμευτική επιχειρησιακή οδηγία (Binding Operational Directive) που υποχρεώνει τις ομοσπονδιακές υπηρεσίες των Η.Π.Α. να καταγράψουν, αποσύρουν και αντικαταστήσουν συσκευές edge που έχουν φτάσει στο τέλος υποστήριξης (End-of-Service – EoS). Η πρωτοβουλία εντάσσεται στη συνολική προσπάθεια του U.S. Department of Homeland Security για την αντιμετώπιση αυξανόμενων απειλών κατά κρίσιμων δημόσιων και ιδιωτικών υποδομών. Η οδηγία, με τίτλο «Mitigating Risk From End-of-Support Edge Devices», αφορά συστήματα των Federal Civilian Executive Branch (FCEB) και στοχεύει κυρίως συσκευές που βρίσκονται στην «περίμετρο» των οργανισμών —routers, firewalls, IoT και άλλες edge τεχνολογίες— οι οποίες δεν υποστηρίζονται πλέον από τους κατασκευαστές τους.
Από τεχνικό ζήτημα σε επιχειρησιακό κίνδυνο
Οι μη υποστηριζόμενες συσκευές δεν αποτελούν απλώς πρόβλημα κύκλου ζωής IT. Όπως επισημαίνουν ειδικοί του κλάδου, μετατρέπονται σε άμεσο κίνδυνο για τα λειτουργικά (OT) περιβάλλοντα. Πολλά συστήματα επιχειρησιακής τεχνολογίας βασίζονται σε παλαιότερες πλατφόρμες που δεν σχεδιάστηκαν με σύγχρονες προδιαγραφές ασφάλειας, αλλά εξακολουθούν να ελέγχουν κρίσιμες διαδικασίες σε ενέργεια, μεταφορές και βιομηχανία.
Όταν τέτοιες συσκευές φτάνουν στο τέλος υποστήριξης, παραμένουν:
- Χωρίς ενημερώσεις ασφαλείας.
- Χωρίς ενεργή παρακολούθηση.
- Χωρίς διαχείριση ευπαθειών.
Αυτό δημιουργεί ιδανικά σημεία εισόδου για επιτιθέμενους, οι οποίοι πλέον δεν διαχωρίζουν ψηφιακούς και φυσικούς στόχους, αλλά εκμεταλλεύονται τα «κενά» μεταξύ IT, OT και cyber-physical συστημάτων.
Πολιτική πίεση και κρίσιμες υποδομές
Η οδηγία έρχεται μετά από ακρόαση εποπτείας της Επιτροπής Εσωτερικής Ασφάλειας της Βουλής των Αντιπροσώπων, όπου συζητήθηκαν οι αυξανόμενες απειλές σε ζωτικές υποδομές, όπως η ενέργεια και οι μεταφορές. Το μήνυμα ήταν σαφές: ο κυβερνοκίνδυνος δεν περιορίζεται πλέον στα πληροφοριακά συστήματα, αλλά συνδέεται άμεσα με τη λειτουργική ασφάλεια και τη διαθεσιμότητα κρίσιμων υπηρεσιών.
Συγκεκριμένο χρονοδιάγραμμα συμμόρφωσης
Η CISA θέτει σαφές πλαίσιο ενεργειών για τις FCEB υπηρεσίες:
- Εντός 3 μηνών: Πλήρης απογραφή όλων των edge συσκευών.
- Εντός 24 μηνών: Συνεχής ανακάλυψη (continuous discovery) και οριστική απόσυρση ή αντικατάσταση των μη υποστηριζόμενων συστημάτων.
Η κίνηση αυτή σηματοδοτεί μια αυστηρότερη προσέγγιση στη διαχείριση τεχνολογικού χρέους και επιβεβαιώνει ότι η ασφάλεια της περιμέτρου αποτελεί πλέον κρίσιμο πυλώνα εθνικής ανθεκτικότητας.
