Udpakning af Bidens nationale cybersikkerhedsstrategi
Indholdsfortegnelse:
Indsatsen for cybersikkerhed er højere end nogensinde. Samfundet er så dybt forbundet og afhængigt af digital teknologi, at et alvorligt nok angreb kan lamme kritiske funktioner. Den amerikanske regering er klar over truslen og er ved at forberede det, der lover at blive det mest aggressive cybersikkerhedsstrategidokument nogensinde. Kaldet National Cybersecurity Strategy (NCS), er den stadig under wrap i skrivende stund, men dem, der har set det lover, at det vil udjævne amerikanske cybersikkerhedskapaciteter. Her er, hvad vi ved, og hvad vi kan forvente.
En historie om blød cybersikkerhedspolitik
Indtil den nuværende administration tog Det Hvide Hus en forholdsvis let-touch tilgang til at sikre kritisk national infrastruktur (CNI). Denne klasse af infrastruktur, som anses for afgørende for samfundets drift, er omfattende, bl.a 16 afsnit lige fra mad til økonomi.
Tidligere bestræbelser på at beskytte CNI har lignet dette segment af selve økonomien: fragmenteret og usammenhængende. Tidligere administrationer udstedte frivillige retningslinjer for cybersikkerhed for CNI-sektorer, hvilket overlod tilsynsmyndighederne at udvikle og håndhæve mere robuste cybersikkerhedskontroller.
Nogle af disse kontroller har været mere vellykkede end andre og er ofte blevet pålagt på statsniveau. For eksempel udstedte New York Department of Financial Services (NYDFS) Part 500-forordningen, som trådte i kraft i 2017 og tog en aggressiv tilgang til håndhævelse af cybersikkerhed. SEC har også optrappet cybersikkerhedskontrollen.
Alligevel har andre sektorer været mindre aggressive. Kommunale vandafdelinger mangler ofte cybersikkerhedsekspertise. Virksomheder på tværs af andre brancher, der betragtes som en del af CNI, har ofte konkurrerende prioriteter som at opretholde kvartalsvise økonomiske resultater.
Allerede før ransomware-angrebet i maj 2021 på Colonial Pipeline, der fik benzinpriserne til at stige i det østlige USA, havde Biden-administrationen allerede bevæget sig i retning af en mere sammenhængende, praktisk tilgang til CNI-sikkerhed. I april 2021 startede den en sektor-for-sektor gennemgang og skærpelse af CNI med en 100-dages plan for at øge sikkerheden blandt elværker.
I juli samme år fulgte præsidenten dette op ved at underskrive det nationale sikkerhedsmemorandum om forbedring af cybersikkerhed for kontrolsystemer for kritisk infrastruktur, og lovede at tage fat på cybersikkerhedsbeskyttelse på tværs af en række CNI-sektorer. Regeringen udstedt væsentlige cybersikkerhedskrav til olie- og gasrørledningsoperatører i maj og juli, annoncerede vandsektorhandlingsplanen i januar 2022, og målrettet kemikalie sektor med en anden plan i oktober sidste år.
Disse foranstaltninger var mere aggressive end tidligere administrationers forsøg. Den pålagde obligatoriske foranstaltninger, såsom at kræve hændelsesplaner. Den udøvende afdeling arbejdede også sammen med Kongressen for at skabe Cyber Incident Reporting for Critical Infrastructure Act, som i sidste ende vil håndhæve et 72-timers cyberangrebsmeddelelsesvindue for CNI-operatører.
De, der har set strategidokumentet, mener, at det vil forene denne tilgang og træffe yderligere foranstaltninger for at tvinge virksomheder i CNI-sektorer til at skærpe deres forsvar. Dokumentet vil opfordre til at flytte ansvaret til virksomheder, der undlader at implementere passende foranstaltninger.
Ikke mere Mister Nice Guy
Strategidokumentet skærper ikke kun defensive foranstaltninger; den vender også sin opmærksomhed udad. Det omfatter eksplicitte foranstaltninger til at målrette mod ondsindede aktører, siger de ved.
Den amerikanske regering er blevet mere og mere høgagtig i sin målretning mod trusselsaktører i cyberspace. Obama-administrationen holdt stramme tøjler på offensive cyberaktiviteter og krævede udtrykkelig præsidentiel tilladelse til at gå efter fjender af USA online. Trump-administrationen tog foden fra bremsen i 2018, udstedelse National Security Presidential Memorandum nr. 13, som gav Pentagon mere autonomi til at iværksætte offensive cyberoperationer.
I første omgang undersøgte Biden Hvide Hus, om det skulle ophæve nogle af Trumps tiltag. Rapporter tyder dog på, at den nationale cybersikkerhedsstrategi vil tage dem et skridt videre.
"Vores mål er at gøre ondsindede aktører ude af stand til at igangsætte vedvarende cyber-aktiverede kampagner, der ville true USA's nationale sikkerhed eller offentlige sikkerhed," hedder det i dokumentet i en fem-siders sektion med titlen "Forstyrr og afmonter trusselsaktiviteter". Den siger også, at FBI's National Cyber Investigative Joint Task Force vil arbejde sammen med andre agenturer for at blande sig i og i sidste ende fjerne angribernes netværk.
Håndhæve det, der kommer
Regeringen vil angiveligt også rekruttere private virksomheder som partnere i kampen mod angribere og dele information med dem om angrebsmønstre. Disse partnerskaber, sammen med de håndhævelsesforanstaltninger, som vi sandsynligvis vil se i NCS, rejser et spørgsmål: hvor meget vil den udøvende magt være i stand til at håndhæve dette?
Regeringens mest banebrydende dokument før dette, maj 2021 Bekendtgørelse om forbedring af landets cybersikkerhed, var mere begrænset i omfang, fordi bekendtgørelser kun gælder for føderale agenturer. Ethvert pres på den private sektor var indirekte gennem indførelse af cybersikkerhedskontrol i føderale indkøbspolitikker, som ville kræve leverandørens overholdelse.
Det nye strategidokument vil gælde for en lang række private virksomheder, som traditionelt har været forsigtige med regeringens cybersikkerhedsregler. For eksempel har informationsdeling tidligere været et omstridt punkt. Virksomheder har bekymret sig om juridisk ansvar, hvis de videregiver omfanget og omfanget af angreb til regeringen.
Nogle af de sektorer, der er inkluderet i CNI, kan være juridisk vanskelige for Det Hvide Hus at regulere. Det vil have brug for hjælp fra agenturer og en dybt splittet, dysfunktionel kongres, der vil vise sig at være problematisk med at presse fornuftige love igennem. Vi ved mere, når dokumentet falder, hvilket burde være meget snart.
