У четвер адміністрація Байдена наполягала на введенні нових обов’язкових правил і зобов’язань для виробників програмного забезпечення та постачальників послуг, намагаючись перекласти тягар захисту кіберпростору США на невеликі організації і приватних осіб.

«Найбільш здібні суб’єкти кіберпростору, ті, хто займає найкращі позиції, повинні стати кращими керівниками цифрової екосистеми, – пишуть представники адміністрації у документі, що містить оновлену Національну стратегію кібербезпеки. – Сьогодні кінцеві користувачі несуть надто великий тягар пом’якшення кіберризиків. Приватні особи, малий бізнес, державні та місцеві органи влади, а також оператори інфраструктури мають обмежені ресурси і конкуруючі пріоритети, проте вибір цих суб’єктів може мати значний вплив на нашу національну кібербезпеку».

Посилення регуляторних вимог та відповідальності

У документі, що має 39 сторінок, згадуються нещодавні атаки з використанням програм-вимагачів, які порушили роботу лікарень, шкіл, державних служб, роботу трубопроводів та інших об’єктів критичної інфраструктури і життєво важливих послуг у США. Одна з найпомітніших таких атак сталася у 2021 році, коли вірус-вимагач атакував трубопровід Colonial Pipeline, який постачає бензин і авіаційне паливо на більшу частину південного сходу США. Атака зупинила роботу величезного трубопроводу на кілька днів, що призвело до дефіциту пального в деяких штатах.

Після цієї атаки адміністрація запровадила нові правила щодо енергетичних трубопроводів. Стратегічний документ, опублікований у четвер, сигналізує про те, що подібні правила, ймовірно, будуть запроваджені і в інших галузях.

«Наше стратегічне середовище вимагає сучасної і гнучкої нормативно-правової бази з кібербезпеки, адаптованої до профілю ризику кожного сектору, гармонізованої для зменшення дублювання, що доповнює державно-приватну співпрацю і враховує вартість впровадження, – йдеться в документі. – Нові та оновлені правила кібербезпеки повинні відповідати потребам національної та громадської безпеки, а також безпеки окремих осіб, регульованих суб’єктів, їхніх працівників, клієнтів, операцій та даних».

Іншим ключовим акцентом стратегії є сприяння довгостроковим інвестиціям шляхом «досягнення ретельного балансу між захистом від нагальних загроз сьогодні й одночасним стратегічним плануванням та інвестуванням у стійке майбутнє».

Однією з ініціатив, яка, ймовірно, буде однією з найбільш суперечливих для технологічної індустрії, є прагнення притягнути компанії до відповідальності за вразливості в їхньому програмному забезпеченні або послугах. Згідно з чинною правовою базою, ці компанії часто стикаються з незначними правовими наслідками (якщо взагалі стикаються з ними), коли їхні продукти або послуги використовуються.

«Ми повинні почати перекладати відповідальність на тих суб’єктів, які не вживають розумних заходів для захисту свого програмного забезпечення, визнаючи при цьому, що навіть найсучасніші програми захисту програмного забезпечення не можуть запобігти всім вразливостям, – йдеться в документі. – Компанії, які створюють програмне забезпечення, повинні мати свободу для інновацій, але вони також мають нести відповідальність, якщо не виконують обов’язки безпеки, які вони повинні нести перед споживачами, бізнесом або постачальниками критичної інфраструктури».

П’ять опор

У документі перераховано п’ять «опор» для досягнення цих цілей:

  1. Захист критичної інфраструктури. Окрім розширення регулювання критично важливих секторів, план передбачає створення умов для співпраці державного і приватного секторів у захисті критично важливої інфраструктури та громадської безпеки, а також захист і модернізацію федеральних мереж і реагування на федеральні інциденти.
  2. Підрив і ліквідація суб’єктів загрози, щоб зменшити їхню загрозу національній і громадській безпеці. Засоби для досягнення цього включають використання «всіх інструментів національної міці» для перешкоджання суб’єктам загрози, залучення приватного сектору до цієї роботи, а також протидію загрозі програм-вимагачів за допомогою комплексного федерального підходу, який координується з міжнародними партнерами.
  3. Формування ринкових сил для підвищення безпеки та стійкості. Це передбачає покладання відповідальності на тих, хто в межах цифрової екосистеми має найкращі можливості для зменшення ризиків. Цей компонент наголошує на забезпеченні конфіденційності та безпеки приватних даних, перенесенні відповідальності на програмне забезпечення та послуги, а також забезпеченні федеральних грантових програм, що сприяють інвестиціям у нову, безпечнішу інфраструктуру.
  4. Інвестування у стійке майбутнє через «стратегічні інвестиції та скоординовані спільні дії». Це передбачає зменшення вразливості цифрової екосистеми, підвищення її стійкості до транснаціональних репресій, пріоритетність досліджень і розробок у сфері кібербезпеки, а також створення потужнішого національного кадрового потенціалу в галузі кібербезпеки.
  5. Налагодження міжнародного партнерства для досягнення спільних цілей. Серед засобів досягнення цієї мети – створення або використання міжнародних коаліцій і партнерств для протидії загрозам, посилення оборонних спроможностей партнерів у сфері кібербезпеки та співпраця з союзниками.

Востаннє президент США виклав план національної кібербезпеки у 2018 році за часів Дональда Трампа. За п’ять років, що минули з того часу, США пережили шквал руйнівних кібератак. Окрім трубопроводу Colonial Pipeline, вони включають атаку на ланцюжок постачання Solar Winds, про яку стало відомо в грудні 2020 року. Пошкодивши систему розповсюдження програмного забезпечення SolarWinds, зловмисники, які працювали від імені Кремля, розповсюдили шкідливе ПЗ приблизно 18 тисячам клієнтів, які використовували продукт для управління мережею. Потім хакери надіслали шкідливе ПЗ приблизно 10 федеральним установам США та близько 100 приватним організаціям.

Атаки з вимогами викупу зараз більш поширені, ніж п’ять років тому. Про це йдеться в стратегії, яку розробили представники адміністрації:

«Враховуючи вплив програм-вимагачів на ключові послуги критичної інфраструктури, Сполучені Штати будуть використовувати всі елементи національної влади для протидії цій загрозі за чотирма напрямками: (1) використання міжнародного співробітництва для руйнування екосистеми програм-вимагачів та ізоляції тих країн, які стали безпечним притулком для злочинців; (2) розслідування злочинів, пов’язаних з програмами-вимагачами, і використання правоохоронних та інших органів для руйнування інфраструктури програм-вимагачів та їхніх виконавців; (3) підвищення стійкості критичної інфраструктури до атак програм-вимагачів; і (4) боротьба зі зловживанням віртуальною валютою для відмивання коштів, отриманих у вигляді викупу.»

Документ також перекваліфікує програми-вимагачі як загрозу національній безпеці, тоді як раніше вони розглядалися як кримінальна загроза.

План координуватиметься Радою національної безпеки США, Адміністративно-бюджетним управлінням Білого дому та Офісом національного кібердиректора. Ці органи надаватимуть щорічні звіти президенту і Конгресу, щоб інформувати про хід виконання плану та його ефективність. Ці органи також щороку надаватимуть вказівки федеральним агентствам. Білий дім надав цей інформаційний бюлетень з коротким викладом плану.