Гетти Изображений
Администрация Байдена в четверг настаивала на введении новых обязательных правил и обязательств для производителей программного обеспечения и поставщиков услуг в попытке переложить бремя защиты киберпространства США с мелких организаций и частных лиц.
«Наиболее способные и наиболее позиционированные участники киберпространства должны лучше распоряжаться цифровой экосистемой», — написали представители администрации в долгожданном обновленном документе Национальной стратегии кибербезопасности. «Сегодня на конечных пользователей ложится слишком большое бремя снижения киберрисков. , малый бизнес, государственные и местные органы власти, а также операторы инфраструктуры имеют ограниченные ресурсы и конкурирующие приоритеты, однако выбор этих субъектов может оказать значительное влияние на нашу национальную кибербезопасность».
Растущие правила и обязательства
В 39-страничном документе упоминаются недавние атаки программ-вымогателей, которые нарушили работу больниц, школ, государственных служб, работы трубопроводов и других критически важных инфраструктур и основных служб. Одна из наиболее заметных таких атак произошла в 2021 году, когда программа-вымогатель атаковала Colonial Pipeline, по которому бензин и авиакеросин доставляются на большую часть юго-востока США. Атака остановила работу огромного трубопровода на несколько дней, что привело к нехватке топлива в некоторых штатах.
После этого нападения администрация ввела новые правила в отношении энергетических трубопроводов. Стратегический документ, опубликованный в четверг, сигнализировал о том, что аналогичные рамки, вероятно, появятся и в других отраслях.
«Наша стратегическая среда требует современной и гибкой нормативно-правовой базы для кибербезопасности, адаптированной к профилю риска каждого сектора, согласованной для уменьшения дублирования, дополняющей государственно-частное сотрудничество и учитывающей стоимость внедрения», — говорится в документе. «Новые и обновленные правила кибербезопасности должны быть откалиброваны для удовлетворения потребностей национальной безопасности и общественной безопасности, в дополнение к безопасности и безопасности отдельных лиц, регулируемых организаций и их сотрудников, клиентов, операций и данных».
Еще одним ключевым направлением стратегии является поощрение долгосрочных инвестиций путем «нахождения тщательного баланса между защитой от неотложных угроз сегодня и одновременным стратегическим планированием и инвестированием в устойчивое будущее».
Одна из инициатив, которая, вероятно, будет одной из самых спорных для технологической отрасли, — это стремление привлечь компании к ответственности за уязвимости в их программном обеспечении или услугах. В соответствии с существующими правовыми рамками эти компании часто сталкиваются с незначительными юридическими последствиями, если они вообще возникают, в случае использования их продуктов или услуг, даже если уязвимости возникают из-за небезопасных конфигураций по умолчанию или известных уязвимостей.
«Мы должны начать перекладывать ответственность на те организации, которые не принимают разумных мер предосторожности для защиты своего программного обеспечения, признавая при этом, что даже самые передовые программы безопасности программного обеспечения не могут предотвратить все уязвимости», — говорится в документе. «Компании, производящие программное обеспечение, должны иметь свободу вводить новшества, но они также должны нести ответственность, если не выполняют свои обязательства по заботе о потребителях, предприятиях или поставщиках критической инфраструктуры».
Пять столпов
В документе перечислены пять «столпов» этих целей. Они есть:
1. Защита критической инфраструктуры. Помимо расширения правил в отношении критических секторов, план предусматривает обеспечение сотрудничества государственного и частного секторов в защите критической инфраструктуры и общественной безопасности, а также в защите и модернизации федеральных сетей и федеральном реагировании на инциденты.
2. Разрушение и ликвидация угроз чтобы уменьшить их угрозу национальной безопасности и общественной безопасности. Средства для достижения этого включают использование «всех инструментов национальной власти» для противодействия злоумышленникам, привлечение частного сектора к тому же и устранение угрозы программ-вымогателей с помощью комплексного федерального подхода, который согласовывается с международными партнерами.
3. Формирование рыночных сил для повышения безопасности и устойчивости. Это включает в себя возложение ответственности на тех, кто в цифровой экосистеме имеет наилучшие возможности для снижения риска. В этом компоненте делается упор на обеспечение конфиденциальности и безопасности личных данных, перенос ответственности за программное обеспечение и услуги, а также обеспечение того, чтобы федеральные программы грантов стимулировали инвестиции в новую, более безопасную инфраструктуру.
4. Инвестиции в стабильное будущее посредством «стратегических инвестиций и скоординированных совместных действий». Это будет включать снижение уязвимостей в цифровой экосистеме, повышение ее устойчивости к транснациональным репрессиям, уделение приоритетного внимания исследованиям и разработкам в области кибербезопасности, а также создание более надежных национальных кадровых ресурсов в области кибербезопасности.
5. Создание международного партнерства для достижения общих целей. Некоторые средства для достижения этой цели заключаются в создании или использовании международных коалиций и партнерств для противодействия угрозам, повышении возможностей защиты кибербезопасности партнеров и работе с союзниками.
В последний раз президент излагал план национальной кибербезопасности в 2018 году при президенте Дональде Трампе. За прошедшие с тех пор пять лет США пережили шквал разрушительных кибератак. Помимо Colonial Pipeline, они включают атаку цепочки поставок Solar Winds, о которой стало известно в декабре 2020 года. Скомпрометировав систему распространения программного обеспечения SolarWinds, злоумышленники, работающие от имени Кремля, распространили вредоносное ПО примерно 18 000 клиентов, которые использовали продукт для управления сетью. Затем хакеры отправили дополнительные данные примерно в 10 федеральных агентств США и примерно в 100 частных организаций.
Атаки программ-вымогателей сейчас более распространены, чем пять лет назад. В стратегии представители администрации написали:
Учитывая влияние программ-вымогателей на ключевые службы критической инфраструктуры, Соединенные Штаты будут использовать все элементы национальной мощи для противодействия угрозе по четырем направлениям: (1) использование международного сотрудничества для разрушения экосистемы программ-вымогателей и изоляции тех стран, которые предоставляют убежище преступникам. ; (2) расследование преступлений, связанных с программами-вымогателями, и использование правоохранительных органов и других органов для нарушения инфраструктуры и участников программ-вымогателей; (3) повышение устойчивости критической инфраструктуры для противостояния атакам программ-вымогателей; и (4) борьба со злоупотреблением виртуальной валютой для отмывания выкупа.
Документ также классифицирует программы-вымогатели как угрозу национальной безопасности, тогда как ранее они рассматривались как криминальная угроза.
План будет координироваться Советом национальной безопасности, Административно-бюджетным управлением Белого дома и Управлением национального кибер-директора. Эти органы предоставляют ежегодные отчеты президенту и Конгрессу США, чтобы обновить реализацию и эффективность плана. Эти органы также будут ежегодно давать указания федеральным агентствам. Белый дом предоставил этот информационный бюллетень с кратким изложением плана.
