Национальная стратегия кибербезопасности Белого дома, по общему признанию, может быть сложным документом, организованным по шести тематическим направлениям и содержащим почти 70 конкретных инициатив.
Хотя детали легко ошеломляют, основная часть действий документа направлена на исполнительную ветвь правительства США — и большинство этих инициатив, ориентированных на правительство, не новы. Два фактора, отличающих стратегию, которая, вероятно, будет успешно реализована, заключаются в том, что ее содержание носит скорее эволюционный, чем революционный характер и что описываемые в ней мероприятия не требуют нового финансирования.
Хотя большая часть этой стратегии может быть истолкована как обеспечивающая тематический фокус для разрозненных текущих действий правительства, ее всеобъемлющие темы и предположения более новы.
Стратегия предполагает, что у нас был устойчивый и системный сбой рынка, когда дело касалось кибербезопасности. Внедрение кибербезопасности в значительной степени носило дискреционный характер, и организации, которые предпочитают избегать ее, часто экономят деньги в краткосрочной перспективе — до тех пор, пока не произойдет неизбежная кибератака или нарушение. Стратегия представляет собой попытку выровнять и превратить кибербезопасность из необязательной в ожидаемую деятельность, особенно для организаций, являющихся частью критически важной инфраструктуры США, где сбой имеет последствия, выходящие за рамки предприятия и его клиентов.
Перекладывание ответственности, усиление стимулов
В то же время авторы стратегии признали, что это неэффективно, а зачастую и то, что наша коллективная кибербезопасность зависит от конечных пользователей и небольших организаций в критически важной инфраструктуре, которые самостоятельно правильно внедряют киберрешения.
Одной из основных тем стратегии является убеждение в том, что более способные стороны, такие как производители ИТ-продуктов и услуг, должны нести большую ответственность за кибербезопасность, поставляя товары, которые “безопасны по дизайну” и “безопасны по умолчанию”. Этот подход аналогичен подходу к безопасности автомобилей; хотя существуют элементы, варьирующиеся от улучшения дизайна дорог до обучения водителей, наибольшее влияние на повышение безопасности, возможно, оказало то, что производители транспортных средств сосредоточились на создании автомобилей, которые были спроектированы как более безопасные, начиная с таких функций, как ремни безопасности и зоны смятия.
Вторым важным направлением стратегии является усиление рыночных стимулов к развитию киберустойчивости. Хотя эта стратегия привлекла внимание упоминанием регулирования и возможности страхования киберустойчивости при федеральной поддержке, реальность более тонкая. Стратегия нацелена на создание стимулов, а не правила и действия, предпринятые вскоре после июля 2023 года выпуск план реализации стратегии стал запуск проведении открытого запроса информации (RFI) о сокращении дублирующих или противоречащих правительства, кибербезопасности регулирования.
Аналогичным образом, стратегия не направлена на вытеснение растущего рынка частного киберстрахования, а скорее планирует изучить возможность создания поддерживаемого на федеральном уровне киберстрахования на случай катастрофического национального события — во многом аналогичного тому, что федеральное правительство внедрило в отношении терроризма после 11 сентября.
Какие инициативы и действия, вероятно, будут иметь наибольшее значение для частного сектора — и как быстро? Это зависит от того, в каком секторе вы работаете, а также от таких факторов, как размер вашего предприятия и вашей клиентской базы. Вот три вопроса, которые помогут вам выбрать ответ, применимый к вашей организации.
• Работаете ли вы в ИТ-секторе? Если это так, то акцент стратегии на “безопасных по замыслу” и “безопасных по умолчанию” продуктах и услугах, вероятно, повлияет на вашу организацию в ближайшей перспективе, поскольку правительство и частный сектор совместно разрабатывают цели и подходы. Хотя цели, вероятно, будут в значительной степени или полностью добровольными, они сформируют ожидания ваших клиентов относительно стандартов безопасности.
Стратегия также направлена на то, чтобы переложить ответственность за небезопасное программное обеспечение с пользователей на производителей продукции путем совместной работы над такими подходами, как Платформа разработки безопасного программного обеспечения, и другими усилиями, которые, вероятно, станут ожидаемыми передовыми практиками для бизнеса.
• Работаете ли вы в настоящее время в одном из 15 других критически важных инфраструктурных секторов? Если да, стратегия призывает правительство установить требования и стандарты кибербезопасности. Отраслевые агентства по управлению рисками и существующие регулирующие органы в некоторых случаях делают это; однако усилия непоследовательны, а итоговый эффект неравномерен. В то же время, когда администрация стремится обеспечить большую согласованность и разумный базовый уровень кибербезопасности во всей критически важной инфраструктуре, это также предполагает, что дополнительные организации могут рассматриваться как часть критически важной инфраструктуры.
Стратегия также призывает правительство повысить эффективность обмена киберинформацией внутри страны и с частным сектором, а также создавать разведывательные данные по конкретным секторам. Как человек, ответственный за организацию производства и использования федеральным правительством средств киберразведки, я прекрасно понимал, что предоставление информации об угрозах критически важной инфраструктуре не имеет “универсального” решения. Стратегия обеспечивает необходимое средство правовой защиты и возможность индивидуализации такой поддержки и взаимодействия в зависимости от сектора.
• Продаете ли вы в настоящее время товары или услуги федеральному правительству? Стратегия состоит из нескольких элементов, направленных на повышение ответственности поставщиков за безопасность продуктов, которые компании предоставляют федеральным заказчикам. Это будет особенно важно, если вы неточно подтвердите уровень производительности или соответствие стандарту, поскольку существующий Закон о ложных претензиях может привлечь организацию к ответственности за ущерб.
Для других организаций “прилив поднимает все лодки”. Прогресс в создании ИТ-продуктов и услуг, “безопасных по дизайну” и предоставляемых в операционных конфигурациях “безопасных по умолчанию”, поможет организациям всех размеров, а также отдельным пользователям. Большая прозрачность в понимании элементов цепочки поставок для ИТ и в снижении рисков также поможет всем пользователям, и уже предпринимаемые действия по созданию эквивалента рейтинга безопасности для продуктов Интернета вещей “Energy Star” аналогичным образом пойдут на пользу всем.
Эффективная реализация Стратегии
Хотя на первый взгляд эта стратегия может показаться набором приказов федерального правительства, ее потенциальное воздействие гораздо шире. Хотя некоторые секторы и организации будут затронуты более непосредственно, чем другие, каждый заинтересован в успешной реализации Национальной стратегии кибербезопасности США до 2023 года.