Biden se nasionale kuberveiligheidstrategie uitpak 

Die kuberveiligheidsbelang is hoër as ooit. Die samelewing is so diep verbind en afhanklik van digitale tegnologie dat 'n ernstig genoeg aanval kritieke funksies kan knou. Die Amerikaanse regering is bewus van die bedreiging en is besig om voor te berei wat beloof om die mees aggressiewe kuberveiligheidstrategiedokument ooit te wees. Dit word die Nasionale Kuberveiligheidstrategie (NCS) genoem, en is nog steeds onder die skuiling by die skryf hiervan, maar diegene wat dit gesien het belowe dat dit Amerikaanse kuberveiligheidsvermoëns sal verbeter. Hier is wat ons weet en wat om te verwag.

'n Geskiedenis van sagte kuberveiligheidsbeleid 

Tot die huidige administrasie het die Withuis 'n relatief ligte benadering gevolg om kritieke nasionale infrastruktuur (CNI) te beveilig. Hierdie klas infrastruktuur, wat as noodsaaklik beskou word vir die werking van die samelewing, is omvattend, insluitend 16 afdelings wat wissel van kos tot finansies.

Vorige pogings om die CNI te beskerm was baie soos hierdie segment van die ekonomie self: gefragmenteerd en onsamehangend. Vorige administrasies het vrywillige kuberveiligheidsriglyne vir CNI-sektore uitgereik, wat reguleerders gelaat het om meer robuuste kuberveiligheidskontroles te ontwikkel en af ​​te dwing.

Sommige van hierdie kontroles was meer suksesvol as ander en is dikwels op staatsvlak ingestel. Die New York Department of Financial Services (NYDFS) het byvoorbeeld die Deel 500-regulasie uitgereik, wat in 2017 in werking getree het en 'n aggressiewe benadering tot kuberveiligheidstoepassing gevolg het. Die SEC het ook kuberveiligheidskontroles verskerp.

Tog was ander sektore minder aggressief. Munisipale waterdepartemente kort dikwels kundigheid oor kuberveiligheid. Maatskappye oor ander bedrywe wat as deel van die CNI beskou word, het dikwels mededingende prioriteite soos die handhawing van kwartaallikse finansiële prestasie.

Selfs voor die losprysware-aanval in Mei 2021 op Colonial Pipeline wat petrolpryse oor die ooste van die VSA laat styg het, het die Biden-administrasie reeds beweeg na 'n meer samehangende, praktiese benadering tot CNI-sekuriteit. In April 2021 het dit 'n sektor-vir-sektor hersiening en verharding van die CNI afgeskop met 'n 100-dae plan om sekuriteit tussen elektriese nutsdienste.

In Julie daardie jaar het die president dit opgevolg deur die nasionale veiligheidsmemorandum oor die verbetering van kuberveiligheid vir kritieke infrastruktuurbeheerstelsels te onderteken, wat belowe het om kuberveiligheidsbeskerming oor 'n reeks CNI-sektore aan te spreek. Die regering uitgereik aansienlike kuberveiligheidsvereistes vir olie- en gaspypleidingoperateurs in Mei en Julie, aangekondig die Watersektor Aksieplan in Januarie 2022, en gerig op die chemiese sektor met 'n ander plan verlede Oktober.

Hierdie maatreëls was meer aggressief as vorige administrasies se pogings. Dit het verpligte maatreëls opgelê, soos om insidentreaksieplanne te vereis. Die uitvoerende tak het ook saam met die Kongres gewerk om die Wet op kubervoorvalverslagdoening vir kritieke infrastruktuur, wat uiteindelik 'n 72-uur kuberaanval kennisgewing venster vir CNI operateurs sal afdwing.

Diegene wat die strategiedokument gesien het, glo dat dit hierdie benadering sal verenig deur verdere maatreëls te tref om maatskappye in CNI-sektore te dwing om hul verdediging te verhard. Die dokument sal vra dat aanspreeklikheid verskuif word na maatskappye wat versuim om toepaslike maatreëls te implementeer.

Nie meer nie Mister Nice Guy 

Die strategiedokument slyp nie net verdedigingsmaatreëls nie; dit rig ook sy aandag na buite. Dit sluit eksplisiete maatreëls in om kwaadwillige akteurs te teiken, sê diegene wat weet.

Die Amerikaanse regering het al hoe meer vals geword in sy teiken op bedreigingsrolspelers in die kuberruim. Die Obama-administrasie het aanstootlike kuberaktiwiteite streng in toom gehou, wat eksplisiete presidensiële toestemming vereis het om vyande van die VSA aanlyn agterna te gaan. Die Trump-administrasie het in 2018 sy voet van die rem gehaal, uitreiking Nasionale Veiligheid Presidensiële Memorandum No. 13, wat die Pentagon meer outonomie gegee het om aanstootlike kuberbedrywighede te begin.

Aanvanklik het die Biden Withuis bestudeer of dit sommige van Trump se maatreëls moet herroep. Verslae dui egter daarop dat die Nasionale Kuberveiligheidstrategie hulle 'n stap verder sal neem.

"Ons doelwit is om kwaadwillige akteurs nie in staat te maak om volgehoue ​​kuber-geaktiveerde veldtogte aan te knoop wat die nasionale veiligheid of openbare veiligheid van die Verenigde State sal bedreig nie," lui die dokument na bewering in 'n afdeling van vyf bladsye getiteld "Ontwrig en ontbind bedreigingsaktiwiteite". Dit sê ook dat die FBI se nasionale kuberondersoekende gesamentlike taakmag saam met ander agentskappe sal werk om in te meng met en uiteindelik aanvallers se netwerke af te neem.

Afdwing wat kom 

Die regering sal volgens berigte ook private maatskappye as vennote in die stryd teen aanvallers inspan en inligting oor aanvalspatrone met hulle deel. Hierdie vennootskappe, tesame met die afdwingingsmaatreëls wat ons waarskynlik in die NKV sal sien, laat 'n vraag ontstaan: hoeveel sal die uitvoerende tak dit kan afdwing?

Die regering se mees baanbrekende dokument voor hierdie, Mei 2021 s'n Uitvoerende bevel oor die verbetering van die nasie se kuberveiligheid, was meer beperk in omvang omdat uitvoerende bevele slegs van toepassing is op federale agentskappe. Enige druk wat op die private sektor toegepas is, was indirek deur die instelling van kuberveiligheidsbeheermaatreëls in federale verkrygingsbeleide wat nakoming van verskaffers sou vereis.

Die nuwe strategiedokument sal van toepassing wees op 'n groot aantal private firmas wat tradisioneel versigtig was oor die regering se kuberveiligheidsregulasies. Die deel van inligting was byvoorbeeld in die verlede 'n omstrede punt. Maatskappye is bekommerd oor wetlike aanspreeklikheid as hulle die omvang en omvang van aanvalle aan die regering bekend maak.

Sommige van die sektore wat in die CNI ingesluit is, kan wetlik moeilik wees vir die Wit Huis om te reguleer. Dit sal die hulp van agentskappe en 'n diep verdeelde, disfunksionele kongres nodig hê wat problematies sal wees om sinvolle wette deur te druk. Ons sal meer weet wanneer die dokument daal, wat baie binnekort behoort te wees.