Администрацията на Байдън публикува национален стратегически план за киберсигурност, за да оформи как Съединените щати поддържат онлайн сферата по-безопасна. Говори се за отбраната на нацията, защитата срещу хакери на бизнеса и ключова инфраструктура и др.
И така, какво можете да очаквате от плана за национална стратегия за киберсигурност? Какво означава за вас?
Защо е важна Националната стратегия за киберсигурност за 2023 г.?
Многобройни фактори несъмнено накараха администрацията на Байдън да разбие киберсигурността с този план. Една от тях вероятно е, че Съединените щати често са целта и страната на произход за онлайн атаки.
NordLocker установи, че 46 процента от атаките с ransomware се случват в САЩ. Друга констатация е, че Мичиган е най-засегнат от подобни инциденти, а Мисури ги преживява най-рядко. На други места, a CyberProof проучване разкри, че Съединените щати са втората класирана страна по произход на кибератаки, като само Китай е извършил повече от тези престъпления.
Не помага фактът, че необузданите кибератаки могат да спрат другите цели на Байдън за Съединените щати. Например през 2021 г. лидерът разпореди 100-дневно разследване в недостига на полупроводници в страната. Увеличаването на вътрешното производство беше една широко обсъждана възможност за справяне с проблема. Въпреки това кибератаките сериозно възпрепятстват производствените операции, като често принуждават засегнатите компании да спрат производствени линии и да прекъснат връзката с онлайн мрежите.
Колекция от експертни гледни точки от Вътрешна сигурност днес представени хора, често предупреждаващи за това как Съединените щати трябва да приемат сериозно киберсигурността и да защитават критичната инфраструктура.
Експертите не могат да прочетат мислите на президента Байдън, за да разберат кои точно фактори са вдъхновили стратегическия план за киберсигурност. Движещите сили, описани по-горе, обаче са най-вероятни.
Как регламентът за стратегията за киберсигурност поддържа Америка по-безопасна?
Предишните подходи към киберсигурността на национално ниво се фокусираха върху публично-частните партньорства и практиките за споделяне на информация. Въпреки това можем да очакваме сравнително по-голям акцент върху регулирането.
Вашингтон пост показва, че нацията ще използва съществуващите регулаторни органи, когато е възможно, след което ще използва Конгреса за справяне с пропуските. Все още обаче няма информация как и кога ще се случи необходимото внедряване. Покритието също така изясни как членовете на Конгреса трябва да работят заедно, за да изпълнят целите на стратегията, тъй като изпълнителната власт може да направи толкова много. Един експерт по киберсигурност, цитиран в Post, се съмнява, че ще види голям напредък през следващата година.
Законът на Блумбърг изясни, че на стратегията липсват регулаторни зъби сама по себе си. Въпреки това подробностите в него могат да накарат други агенции да действат, за да променят обработката на киберсигурността. Една от предложените възможности беше Службата за управление и бюджет да може да издава повече разпоредби за субектите под нейно влияние. Друг вариант е Агенцията за киберсигурност и сигурност на инфраструктурата да наложи обвързващи оперативни директиви, засягащи федералните информационни системи.
Оценката на Washington Post на проекта споменава промяна в отговорността към субекти, които създават софтуер с пропуски в сигурността. Планът признава, че дори най-модерните усилия за сигурност на софтуера не могат да спрат всички уязвимости; въпреки това продавачите трябва да предприемат разумни стъпки за намаляване на рисковете.
Националната стратегия за киберсигурност за 2023 г. насочена ли е към хакерите?
Покритие от шисти относно програмата за стратегическа киберсигурност също предлага по-стабилни защити срещу хакери, които искат да пожертват националната сигурност. Националната съвместна работна група за киберразследвания на ФБР систематично ще работи с всички съответни федерални агенции, за да се намесва и да премахва враждебните киберпрестъпни мрежи.
Освен това частните компании също ще играят жизненоважна роля в усилията. Представители на тези организации ще предупредят съответните органи за потенциални или потвърдени атаки. Те също ще помогнат за предотвратяване на кибер инциденти. Това не е първият акцент върху избягването на потенциални заплахи по време на президентството на Байдън. Изпълнителна заповед от 2021 г. включваше разследване на приложения, притежавани от чуждестранни противници, особено TikTok и WeChat.
Стратегията на Байдън обаче се простира само до нападателни действия срещу партии, които се опитват да проникнат в мрежите на САЩ. Всеки, който очаква подробности за отбранителните усилия на нацията в това отношение, ще ги намери в план, издаден от Пентагона, за който се твърди, че се основава на стратегията на администрацията на Байдън.
В стратегията за киберсигурност на Байдън обаче има 30 страници, които се занимават със защити срещу критична инфраструктура. Отнася се до части от икономиката, считани за съществени за съвременното общество. Съществената промяна в новия план е, че защитата на тези жизненоважни сектори става задължителна, а не доброволна. Може би атаката на Colonial Pipeline от 2021 г., при която рансъмуер прекъсна доставките на бензин и самолетно гориво от Тексас до югоизточната част на Америка, подейства като сигнал за събуждане, но това не е първата атака срещу инфраструктурата и със сигурност няма да е последният.
Но не очаквайте единни правила за всички компании под чадъра на критичната инфраструктура. Администрацията на Байдън започна да разглежда внимателно всяка съответна индустрия повече от година преди стратегията за киберсигурност за 2023 г. Това предполага, че всеки сектор може да се наложи да следва различни най-добри практики за киберсигурност в зависимост от най-значимите рискове, пред които е изправен.
Какво означава стратегията за киберсигурност за компаниите?
Дори с пускането на стратегическия план за киберсигурност, някои неща няма да се променят. Естествено, един от тях е, че компаниите все още трябва да насърчават работниците да бъдат в безопасност онлайн. Кога CGS публикувани съвети за поддържане на интереса на служителите, се цитира, че 99 процента от работниците дават приоритет на удобството пред запазването на безопасността на работните си места. Ангажирането на работната сила може да стане още по-критично със стратегията за киберсигурност.
Преглед от Прозрения за корпоративното съответствие спекулира, че прилагането му може да доведе до частни организации, които определят стандарти, подобни на тези, наложени на правителствени агенции или предприятия в категорията на критичната инфраструктура. Регулациите и одитите също могат да се увеличат, което означава, че организацията трябва да потвърди, че прави всичко необходимо и възможно за предотвратяване на кибератаки.
Анализът също така предупреждава как изпълнението на очакванията, очертани в плана на администрацията на Байдън, ще изисква координирани усилия, които включват участие на правителството. Това предполага, че много компании ще трябва да направят съществени промени в управлението на киберсигурността. Най-добрият вариант обаче е да потвърдите какво точно се иска от вас, преди да продължите с внедряването.
Засилване на киберсигурността на Америка?
Киберсигурността е бързо развиваща се и непрекъснато развиваща се индустрия. Мнозина, запознати със стратегията на администрацията на Байдън, смятат съдържанието за подходящо за онлайн сигурност като цяло. Но само времето ще покаже как изглежда прилагането му на практика, колко време трябва да се съобразят засегнатите организации и какво ще се случи, ако не го направят.
Когато видите стратегията за киберсигурност, трябва да я прегледате внимателно и да прецените дали вашата организация трябва да направи нещо, за да се приведе в съответствие с изискванията.