Белый дом опубликовал свою Национальную стратегию кибербезопасности, которая предусматривает усиление роли американских поставщиков программного обеспечения и технологий в борьбе с растущим числом киберугроз.
Опубликованная 3 марта 2023 года стратегия излагает план администрации Байдена по внесению двух фундаментальных изменений в подход США к кибербезопасности.
Первый сдвиг предполагает гораздо более тесное сотрудничество между правительством и промышленностью, при этом в стратегии отмечается, что бремя борьбы с киберугрозами должны взять на себя организации, обладающие необходимым опытом и ресурсами.
«Наша коллективная киберустойчивость не может полагаться на постоянную бдительность наших самых маленьких организаций и отдельных граждан», — говорится в сообщении. «Вместо этого как в государственном, так и в частном секторе мы должны обращаться к наиболее способным и занимающим наилучшие позиции участникам, чтобы сделать нашу цифровую экосистему безопасной и устойчивой».
Он добавил, что это будет включать различные национальные и федеральные органы или инициативы по кибербезопасности, а также широкий круг частных субъектов: «Федеральное правительство [will] также углубить оперативное и стратегическое сотрудничество с поставщиками программного обеспечения, оборудования и управляемых услуг, способными изменить киберландшафт в пользу большей безопасности и устойчивости».
Ранее в мае 2021 года Байден подписал указ об усилении киберзащиты Америки с упором на государственно-частное партнерство и обмен информацией, который в то время администрация назвала «первым из многих амбициозных шагов» по модернизации США. ‘ киберзащиты.
Позже в марте 2022 года он подписал новый закон о сообщении об инцидентах в области кибербезопасности, в соответствии с которым операторы критически важной национальной инфраструктуры обязаны сообщать о кибератаках правительству США.
Помимо перебалансировки ответственности за защиту киберпространства, стратегия также направлена на переориентацию стимулов в пользу долгосрочных инвестиций, чтобы США могли сделать свое киберпространство «более защищенным и устойчивым по своей природе» в будущем.
«Мы должны обеспечить, чтобы рыночные силы и государственные программы в равной степени вознаграждали безопасность и устойчивость, создавали надежную и разнообразную рабочую силу в области кибербезопасности, учитывали безопасность и устойчивость по замыслу, стратегически координировали инвестиции в исследования и разработки в области кибербезопасности и продвигали совместное управление нашей цифровой экосистемой. “, – сказал он.
Для достижения этих двух «фундаментальных сдвигов» в подходе США к кибербезопасности стратегия выделяет пять столпов: защита критической инфраструктуры; разрушить и ликвидировать участников угроз; формировать рыночные силы для обеспечения безопасности и устойчивости; инвестировать в устойчивое будущее; и наладить международное партнерство для достижения общих целей.
Что касается роли частного сектора, Белый дом заявил в информационном бюллетене, что эти элементы будут способствовать тому, чтобы государственно-частное сотрудничество работало с необходимой скоростью и в необходимом масштабе; вовлечение частного сектора в подрывную деятельность субъектов; и перекладывание ответственности за сбои безопасности на софтверные компании
Он добавил, что в целом Белый дом будет работать над расширением использования минимальных требований к кибербезопасности; модернизировать федеральные сети и политику реагирования на инциденты; продвигать конфиденциальность и безопасность личных данных; и стратегически использовать «все инструменты национальной власти», чтобы сокрушить противников.
Стратегия будет реализовываться Советом национальной безопасности (СНБ) в координации с Административно-бюджетным управлением (OMB) и Управлением национального кибер-директора (ONCD), которым будет поручено представлять ежегодные отчеты президенту и Конгрессу по эффективность стратегии.
Брайан Фокс, соучредитель, главный технический директор компании Sonatype, управляющей цепочками поставок программного обеспечения, который внес свой вклад в разработку стратегии, похвалил стратегию, направленную на то, чтобы поставщики несли большую ответственность за риски кибербезопасности.
«Log4shell стал стимулом для призывов к действиям по повышению безопасности цепочки поставок программного обеспечения со стороны правительств во всем мире», — сказал он, добавив, что эта стратегия является «знаменательным моментом для отрасли», свидетельствующим о детальном понимании современного ландшафта угроз.
«Рыночные силы ведут к гонке на выживание в определенных отраслях, в то время как контрактное право позволяет поставщикам программного обеспечения всех видов защищать себя от ответственности… стратегия удачно начинается с того, что лишает поставщиков возможности отказываться от какой-либо ответственности, в то время как признавая, что даже идеальный процесс обеспечения безопасности не может гарантировать идеальных результатов».
Он добавил, что стратегия также направлена на то, чтобы удерживать компании, которые собирают огромные объемы информации, а затем оставлять эту информацию открытой для злоумышленников с небольшими средствами защиты.
«Без изменений в законодательстве последствия таких нарушений могут быть огромными для потребителей, в то время как возникающие в результате судебные иски представляют собой ошибку округления и затраты на ведение бизнеса для этих компаний», — сказал он. «Изменение динамики подотчетности — единственный способ добиться нужных результатов. Но это только начало гораздо большего разговора».
Майкл Макферсон, старший вице-президент по операциям безопасности в ReliaQuest, также приветствовал эту стратегию, заявив, что она «подтверждает общегосударственный подход к тесному партнерству с частным сектором для оказания максимального воздействия на противника».
«В конечном счете, правительство США хочет ухудшить экосистему противника и наложить последствия за его незаконную деятельность», — добавил он. «Такие агентства, как ФБР, будут и впредь играть ведущую роль в координации усилий и проведении этих подрывных операций. Несмотря на то, что сотрудничество с частным сектором будет сопряжено с огромными проблемами, в этой стратегии подчеркивается, что это необходимо для национальной безопасности».
