После приглашения президента частному сектору сотрудничать с федеральным правительством в реализации Стратегии национальной кибербезопасности Белый дом опубликовал план реализации национальной стратегии кибербезопасности (NCSIP). Стратегия не предусматривала способа “ответить на приглашение” президента, как и NCSIP. Отсутствие определенных каналов коммуникации для частного сектора предоставляет организациям открытый форум для максимального первоначального взаимодействия с федеральным правительством.
Чтобы в полной мере воспользоваться возможностями стратегии, частный сектор должен активно стремиться к взаимодействию. Ниже приведены три рекомендации для представителей частного сектора (и федеральных чиновников, которым поручено работать с ними), которые следует учитывать при развитии отношений сотрудничества и реализации инициатив NCSIP. Важно сохранять настрой на сотрудничество; сотрудничество принесет пользу не только частным организациям, но и улучшит национальную безопасность США и международную стабильность.
По умолчанию участие частного сектора
В Национальной стратегии кибербезопасности 2018 года признана роль частного сектора и необходимость федерального правительства сотрудничать с промышленностью для обеспечения безопасности информационных технологий. В стратегии на март 2023 года были сделаны значительные подробные шаги вперед в повышении роли частного сектора. Новая стратегия предусматривает повсеместное участие частного сектора, подчеркивая партнерство по наиболее важным вопросам кибербезопасности, многие из которых ранее были зарезервированы для действий только правительства.
Обсуждение стратегической цели 2.2 потенциала оперативного сотрудничества правительства и частного сектора особенно примечательно. Такое сотрудничество выходит за рамки обмена информацией и будет включать такие формы сотрудничества, доверия и взаимопонимания, которые будут беспрецедентными для большинства неправительственных организаций. Стратегическая цель 2.2 молчаливо признает, что частный сектор может привнести в киберконкуренцию такие возможности, которые недоступны правительству.
Однако существуют и другие стратегические цели, в которых частный сектор не упоминается, но, вероятно, должен быть. Например, в стратегической цели 1.4 “Обновить федеральные планы и процессы реагирования на инциденты” мало обсуждается роль частного сектора в реализации этого компонента стратегии. По иронии судьбы, кибербезопасность – это сфера, ориентированная в первую очередь на цифровые технологии, продукты и услуги которой являются результатом наиболее ориентированных на клиента процессов разработки в мире. Хотя разработка мер реагирования на федеральном уровне, безусловно, является обязанностью федерального правительства, характер киберпространства говорит в пользу масштабной экспертизы (частный сектор), информирующей поставщика услуг (правительство) о том, как наилучшим образом реагировать на потенциальные инциденты, в которые будут вовлечены клиенты (налогоплательщики). Небольшой пример: планы действий в случае инцидентов должны включать альтернативные методы связи между ключевыми сотрудниками правительства и частного сектора в случае, если одна из форм связи недоступна, и использовать безопасные виртуальные пространства для совместной работы, которые решают “проблему места” для объединения людей из разных секторов, географических регионов, часовых поясов и уровней классификации. По моему опыту, противники редко наносят удобный удар в рабочее время.
По умолчанию для реализации стратегии следует установить включение частного сектора в постановку каждой возможной стратегической цели и выйти за рамки ожидания слепого реагирования на инциденты и обмена информацией. Федеральные чиновники должны активно стремиться к участию и вносить свой вклад даже в тех целях, в которых доля частного сектора и потенциальный вклад неясны. Правительству хорошо известны не все преимущества или возможности, равно как и обстоятельства, при которых частный сектор может предоставить знания или ресурсы.
Расширение возможностей отраслевых агентств по управлению рисками
Успех стратегии во многом зависит от эффективности работы отраслевых агентств по управлению рисками (SRMA), федеральных департаментов и агентств, связанных с организациями, ответственными за критическую инфраструктуру. Их соответствие владельцам и операторам критически важной инфраструктуры основано на знакомстве с сектором, а не на опыте в области кибербезопасности. Как указано в стратегии, “SRMA несут повседневную ответственность и обладают отраслевым опытом для повышения безопасности и устойчивости в своих секторах. В свою очередь, SRMA поддерживают индивидуальных владельцев и операторов в их соответствующих секторах, которые отвечают за защиту систем и активов, которыми они управляют ”.
Эта структура может быть оптимальной, но она окажет незначительное влияние, если SRMA не будут наделены надлежащими возможностями, ресурсами и полномочиями для выполнения своих обязанностей. SRMA включают федеральные организации, которые несут национальную ответственность за кибербезопасность, такие как Министерства обороны и внутренней безопасности, и те, которые этого не делают, такие как Министерство здравоохранения и социальных служб и Агентство по охране окружающей среды. Поскольку сотни тысяч рабочих мест в сфере кибербезопасности в США остаются незаполненными, наиболее обеспеченным ресурсами ведомствам непросто найти и удержать квалифицированных экспертов по кибербезопасности на своих государственных должностях, особенно с учетом вознаграждений, которые частный сектор предлагает перспективным кандидатам на квалифицированную работу. Учитывая бюджетные ограничения, нехватку экспертных знаний и трудности с изменением полномочий исполнительной власти с помощью законодательства, предоставление SRMA возможности выполнять стратегические цели, вероятно, будет самой большой проблемой при реализации. Федеральное правительство должно пригласить частный сектор принять участие в построении процесса SRMA, чтобы обеспечить взаимное понимание того, как все организации будут осуществлять деятельность по обеспечению кибербезопасности в повседневных и кризисных ситуациях.
Руководителям SRMA предстоит проделать значительную работу, особенно тем, для которых кибербезопасность не является первостепенной задачей. Что наиболее важно, каждому руководителю SRMA следует поручить разработать свой собственный план реализации. Каждый план должен быть составлен с учетом способности каждого SRMA выполнять свои обязанности. О недостатках потенциала необходимо сообщать Белому дому и Конгрессу. Выявление недостатков в полномочиях особенно важно, поскольку Верховный суд планирует пересмотреть давние основополагающие регулирующие полномочия в следующем семестре.
Распределите соответствующие роли для действий по реализации
Хотя авторитарные режимы могут с этим не согласиться, в демократических странах информационные технологии значительно усиливают власть граждан по сравнению с властью их правительств. Этот меняющийся баланс сил не следует рассматривать как угрозу демократическим правительствам; скорее, правительствам следует использовать эту динамику в своих интересах и признать, когда частный сектор должен руководить действиями и проблемами.
Третий компонент стратегии фокусируется на рыночных силах и их влиянии на кибербезопасность. На сегодняшний день участники рынка продемонстрировали, что они в одиночку не могут обеспечить безопасность, необходимую для защиты кибер-интересов США. Тем не менее, участникам должна быть предоставлена возможность руководить решением вопросов, которые в первую очередь затрагивают их. Изучение федеральной поддержки в области киберстрахования, разработка спецификаций программного обеспечения и установление юридической ответственности за небезопасное программное обеспечение должны быть первоначально переданы частному сектору для разработки решений – с твердым напоминанием о том, что, если частный сектор не справится с этим должным образом, правительственные чиновники возьмут бразды правления в свои руки.
Федеральное правительство всегда будет регулирующим органом, законодателем, исполнителем законов и защитником нации. Однако на арене кибербезопасности иногда правительству приходится играть гораздо более важную, хотя и трудную роль: роль признания того, что правительство, возможно, не имеет ответов на все вопросы и должно привлекать товарищей по команде из частного сектора. Федеральное правительство должно понимать, что для определенных целей оно является всего лишь равным по отношению к другим владельцам сетей, сталкивающимся с аналогичными угрозами, уязвимостями и страхами. Часто правительству будет лучше отойти на второй план в областях, в которых оно обычно направляет усилия, и уступить место экспертам в области технологий и бизнеса.