Nylige udøvende tiltag og omstruktureringer af agenturer markerer en betydelig ændring i den føderale cybersikkerhedsstrategi, hvilket rejser spørgsmål om national modstandsdygtighed og den private sektors beredskab.
Det er ikke ofte, at man ser en regering bevidst afvikle rimelige fremskridt, der er gjort af en forgænger, men Trumps udøvende magt er fyldt med overraskelser. Den ser ikke bare ud til at have stoppet aktiviteter på flere cybersikkerhedsområder på præcis det tidspunkt, hvor den skal træde speederen i bund; i nogle tilfælde bevæger den sig så hurtigt som muligt i bakgear.
Intet sted er dette tydeligere end i den seneste indberette fra Cyber Solarium Commission (CSC) – eller rettere CSC 2.0. Kommissionen blev oprindeligt oprettet som en del af Defense Authorization Act fra 2019 for at udvikle en strategisk tilgang til forsvar mod betydelige cybersikkerhedsangreb på USA. Efter at den blev ophævet i 2021, blev den genoplivet som en nonprofitorganisation i Center on Cyber and Technology Innovations (CCTI) ved Foundation for the Defense of Democracies (FDD).
Den femte årsrapport fra CSC viser, at USA er gået væsentligt tilbage i sin cybersikkerhedspolitik. Sidste års rapport viste, at landet havde implementeret 48 % af CSC's anbefalinger til cybersikkerhed. I år er implementeringen faldet fra 48 % til 35 %. Næsten en fjerdedel af de fuldt implementerede anbefalinger fra 2024 mistede denne status efter omfattende ændringer foretaget af den nuværende administration.
Et af de fem områder, som rapporten anbefaler, at landet adresserer for at komme tilbage på sporet, er arbejdsstyrkekrisen hos CISA. Trump-administrationen reducerede CISA's arbejdsstyrke med en tredjedel tidligere i år fra 3,300 til 2,200 personer.
Bevæger sig hurtigt og ødelægger ting med vilje
Trump-administrationen har bevæget sig så hurtigt med sine forandringer, at det er svært at følge med, men her er nogle vigtige. Ved sin indsættelse opsagde præsidentens team alle medlemskaber af DHS' rådgivende udvalg, hvilket effektivt dræbte Cyber Safety Review Board, der havde undersøgt Salt Typhoon-angrebene.
Så, Trump fyret chefen for US Cyber Command, Timothy D. Haugh, i april efter pres fra den højreekstreme aktivist Laura Loomer.
Endnu større ændringer kom i juni med Trumps bekendtgørelse "Sustaining Select Efforts to Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 og Executive Order 14144", som ophævede mange cybersikkerhedsforanstaltninger fra Biden-æraen.
Denne EO skar ned på AI-sikkerhedspolitikker, fjernede kravene til sikkerhedsattestering af sikker software for føderale softwareleverandører (herunder software styklister eller SBOM) og hæmmede et forsøg på at indføre digital identitet til føderale ydelser. Sidstnævnte blev retfærdiggjort ved at hævde, at det "risikerede udbredt misbrug ved at give illegale immigranter uretmæssig adgang til offentlige ydelser".
Cyberdiplomati (en central strategisk søjle under Biden-administrationen) blev også ramt. I juli dræbte udenrigsministeriet effektivt det tre år gamle Cyber Diplomacy Bureau (CDP), fyrede nøglemedarbejdere, herunder fem af de otte personer, der arbejdede med bilaterale og regionale anliggender, og omplacerede dets aktive leder. Det vil adskille CDP og flytte dele af det til forskellige afdelinger af agenturet. nævnte rapporterDen nye regering satte også en FCC-lov om IoT-sikkerhed fra januar 2025 på pause.
Trump har især hårdt skåret ned på den primære finansiering af valgstyring og anti-desinformationsinitiativer. Han skar ned på finansieringen til Election Infrastructure Information Sharing Analysis Center (EI-ISAC), og en bekendtgørelse kaldet "Restoring Freedom of Speech and Ending Federal Censorship" skar ned på finansieringen af forskning i udenlandsk ondsindet indflydelse.
Administrationen lukkede også FBI's Foreign Influence Task Force og Global Engagement Center, som fokuserede på at bekæmpe anti-amerikanske informationskampagner. Den tillader nu ikke stater at bruge midler til at købe tjenester fra Multi-State Information Sharing and Analysis Center, og har skåret ned på finansieringen til dette initiativ med den præmis, at det censurerer ytringsfriheden.
Generaladvokat Pam Bondi nedprioriterede også håndhævelsen af Foreign Agents Registration Act (FARA) og nedlagde justitsministeriets taskforce for udenlandsk indflydelse og den nationale sikkerhedsafdelings enhed for virksomhedshåndhævelse. Det baner vejen for udenlandske hack-and-leak-operationer og trollfarme. Og justitsministeriet forladt projekt KleptoCapture, et initiativ fra Biden-æraen til at beslaglægge russiske oligarkers aktiver, der muligvis kan bruges til at finansiere udenlandske påvirkningskampagner.
Disse foranstaltninger har mindsket regeringens evne til at hjælpe private organisationer på det tidspunkt, hvor de har mest brug for det. I april oplevede Checkpoint Software optage en stigning på 47 % i cyberangreb i 1. kvartal 2025, hvilket nåede et gennemsnit på 1,925 ugentlige angreb pr. organisation, sammen med en stigning på 126 % i ransomware-angreb. CrowdStrike registreres en stigning på op til 300% i kinesiske angreb på målrettede industrier.
ISO 27001 som basislinje for modstandsdygtighed
Planlægning for modstandsdygtighed er særligt vigtigt i lyset af regeringens kovending i forbindelse med visse cybersikkerhedspolitikker. Fraværet af regeringsvejledning gør det endnu vigtigere, at virksomheder følger accepterede normer.
I nogle tilfælde vil det betyde at følge ånden i strengere statslige reguleringer, der er blevet ophævet. Standarder som f.eks. ISO 27001 er også nyttige hjælpemidler for virksomheder, der ønsker et solidt grundlag i god praksis for informationssikkerhed. ISO 27001:2022 definerer især Bilag A 5.29 – Informationssikkerhed under afbrydelser, for at sikre informationssikkerhed i perioder med afbrydelser.
For at noget af dette kan fungere, skal virksomhedsledere dog være enige i og være ansvarlige for strukturelle informationssikkerhedsforanstaltninger. Det er op til dem at sikre den rette struktur til at forberede sig på, reagere på og afbøde forstyrrelser. Det er måske endnu ikke passende at sige "ingen kommer for at redde dig", men hvis der nogensinde var et bedre tidspunkt at hæve vindebroen, ville det være nu.
