Strategia bezpieczeństwa cybernetycznego Bidena nakłada ciężar na firmy technologiczne

WASHINGTON — Administracja Bidena planuje w czwartek ujawnić strategię bezpieczeństwa cybernetycznego, która wzywa producentów oprogramowania i przemysł amerykański do wzięcia większej odpowiedzialności za zapewnienie, że ich komputery nie będą mogły zostać zhakowane, podczas gdy FBI i Departament Obrony zintensyfikują wysiłki w celu powstrzymania hakerów i oprogramowania ransomware. Grupy na całym świecie.

Od lat firmy muszą dobrowolnie zgłaszać włamania do swoich systemów i regularnie „łatać” swoje programy w celu usunięcia nowo odkrytych luk w zabezpieczeniach, co iPhone robi z automatycznymi aktualizacjami co kilka tygodni. Ale nowa Narodowa Strategia Bezpieczeństwa Cybernetycznego stwierdza, że ​​takie dobrowolne wysiłki są niewystarczające w świecie wytrwałych wysiłków wyrafinowanych hakerów wspieranych przez Rosję, Chiny, Iran czy Koreę Północną.

20 lat temu George W. Każda administracja od czasu administracji Busha, po objęciu urzędu, wydała jakąś strategię bezpieczeństwa cybernetycznego. Różni się jednak od poprzednich wersji prezydenta Bidena pod kilkoma względami, głównie poprzez podkreślenie większych mandatów dla przemysłu prywatnego, który kontroluje większość krajowej infrastruktury cyfrowej, oraz poprzez rozszerzenie roli rządu o podejmowanie ofensywnych środków w celu zapobiegania cyberatakom. Szczególnie z zagranicy.

Strategia administracji Bidena wzywa do „fundamentalnych zmian w fundamentalnej dynamice ekosystemu cyfrowego”. Jeśli zostanie wprowadzony do nowych przepisów i przepisów, zmusi firmy do wdrożenia minimalnych środków bezpieczeństwa cybernetycznego dla infrastruktury krytycznej – i może nałożyć odpowiedzialność na firmy, które nie chronią swojego kodu, tak jak producenci samochodów i ich dostawcy są pociągani do odpowiedzialności za wadliwe poduszki powietrzne lub usterki. hamulce.

„To renegocjacja amerykańskiej umowy cyberspołecznej” – powiedział Kemba Walton, pełniący obowiązki krajowego dyrektora ds. „Oczekujemy więcej od właścicieli i operatorów naszej infrastruktury krytycznej” – powiedziała pani Walton po tym, jak w zeszłym miesiącu zrezygnowała z funkcji pierwszego krajowego dyrektora ds. Internetu, Chrisa Inglisa, byłego zastępcy dyrektora Agencji Bezpieczeństwa Narodowego.

Dodał, że rząd ponosi większą odpowiedzialność za wzmocnienie bezpieczeństwa i rozbicie głównych grup hakerskich, które zablokowały dokumentację szpitalną lub sparaliżowały działalność firm pakujących mięso w całym kraju.

„Mamy obowiązek to zrobić”, powiedziała pani Walton, „a Internet jest teraz zasadniczo globalnym dobrem wspólnym. Oczekujemy więc więcej od naszych partnerów z sektora prywatnego, organizacji non-profit i przemysłu, ale oczekujemy też więcej od siebie .

Czytany obok wcześniejszych strategii cybernetycznych wydanych przez poprzednich trzech prezydentów, nowy dokument odzwierciedla, w jaki sposób cyberprzestępczość i bezpieczeństwo stają się coraz ważniejsze dla polityki bezpieczeństwa narodowego.

Chociaż administracja Busha nie przyznała publicznie ofensywnych możliwości cybernetycznych USA, przeprowadziła najbardziej wyrafinowany atak cybernetyczny skierowany przez jedno państwo przeciwko drugiemu: potajemną próbę użycia kodu do sabotowania irańskich obiektów paliwowych. Administracja Obamy niechętnie wymienia Rosję i Chiny jako siły stojące za poważnymi atakami hakerskimi na rząd USA.

Administracja Trumpa wzmocniła działania ofensywne USA przeciwko hakerom i podmiotom sponsorowanym przez państwo za granicą. Chiński gigant telekomunikacyjny Huawei, oskarżony o bycie ramieniem chińskiego rządu, również podniósł alarm w związku z wdrażaniem szybkich sieci 5G w Stanach Zjednoczonych i krajach sojuszniczych, obawiając się, że kontrola firmy nad takimi sieciami może pomóc Chinom. Zezwolenie Pekinowi na wyłączenie systemów podczas inwigilacji lub konfliktu.

Ale administracja Trumpa była mniej proaktywna, wymagając od amerykańskich firm ustanowienia minimalnej ochrony dla infrastruktury krytycznej lub pociągnięcia tych firm do odpowiedzialności za szkody, jeśli luki w zabezpieczeniach, które pozostawiły bez nadzoru, zostaną wykorzystane.

Nałożenie nowych rodzajów odpowiedzialności wymagałoby poważnych zmian legislacyjnych, a niektórzy urzędnicy Białego Domu powiedzieli, że skoro Republikanie kontrolują teraz Izbę, Mr. Przyznali, że Biden napotkałby nie do pokonania sprzeciw, gdyby próbował uchwalić odpowiednik nowych przepisów korporacyjnych.

Wiele elementów nowej strategii już funkcjonuje. W pewnym sensie administracja Bidena dogania kroki, które podjęła po zmaganiach w pierwszym roku, który rozpoczął się od poważnych włamań do systemów używanych zarówno przez przemysł prywatny, jak i wojsko.

Po tym, jak rosyjska grupa ransomware zamknęła rurociąg Colonial Pipeline, który obsługuje większość benzyny i paliwa do silników odrzutowych na wschodnim wybrzeżu, administracja Bidena wykorzystała mało znanych funkcjonariuszy organów ścigania z Administracji Bezpieczeństwa Transportu do regulacji rozległej krajowej sieci energetycznej. Rury. Właściciele i operatorzy rurociągów muszą teraz podporządkować się daleko idącym normom ustalonym głównie przez rząd federalny, a jeszcze w tym tygodniu oczekuje się, że Agencja Ochrony Środowiska zrobi to samo w przypadku rur wodociągowych.

Nie ma równoważnych organów federalnych, które wymagają minimalnych standardów cyberbezpieczeństwa w szpitalach, które często są regulowane przez państwo. Są kolejnym celem ataków od Vermont po Florydę.

„Powinniśmy byli zrobić te rzeczy wiele lat temu, po tym, jak cyberataki zostały po raz pierwszy użyte do przerwania dostaw prądu tysiącom ludzi na Ukrainie” – powiedziała w środę Ann Neuberger, zastępca doradcy Bidena ds. bezpieczeństwa narodowego ds. cybernetyki i nowych technologii. Miał na myśli serię ataków na ukraińską sieć energetyczną, która rozpoczęła się siedem lat temu.

Teraz, powiedział, „naprawdę tworzymy podejście sektor po sektorze, które obejmuje infrastrukturę krytyczną”.

Pani. Neuberger podał Ukrainę jako przykład pionierskiej cyberobrony i budowania odporności: w ciągu kilku tygodni po rosyjskiej inwazji Ukraina zmieniła swoje przepisy, aby umożliwić ministerstwom przeniesienie ich baz danych i wielu funkcji rządowych do chmury, tworząc kopie zapasowe serwerów komputerowych i centrów danych. Okolice Kijowa i innych miast były później celem rosyjskiej artylerii. W ciągu kilku tygodni wiele z tych farm serwerów zostało zniszczonych, ale rząd nadal działał, używając systemów satelitarnych, takich jak Starlink, do komunikacji z serwerami za granicą, sprowadzonymi po wybuchu wojny.

Strategia dogania plan ofensywny, który staje się coraz bardziej agresywny. Dwa lata temu FBI zaczęło wykorzystywać nakazy przeszukania w celu znajdowania i usuwania fragmentów złośliwego kodu znalezionego w sieciach korporacyjnych. Ostatnio włamał się do sieci grupy ransomware, usunął „klucze deszyfrujące”, które odblokowywały dokumenty i systemy należące do ofiar grupy, a także udaremnił główne próby okupu.

FBI może działać w sieciach krajowych; Amerykańskie dowództwo cybernetyczne jest odpowiedzialne za ściganie rosyjskich grup hakerskich, takich jak Gilnet, prorosyjska grupa odpowiedzialna za serię ataków typu „odmowa usługi” od początku wojny o Ukrainę. Cyberdowództwo spowolniło działania rosyjskich agencji wywiadowczych w wyborach w USA w 2018 i 2020 roku.

Ale żadne z nich nie jest trwałym rozwiązaniem; Niektóre grupy, na które kierowały się Stany Zjednoczone, wymyśliły się na nowo, często pod innymi nazwami.

W Genewie w 2021 roku prezydent Rosji Władimir V. Pan Putin jako prezydent. Jedyne bezpośrednie spotkanie Bidena odbyło się w związku z obawami, że rosnące ataki ransomware wpływają na życie konsumentów, pacjentów szpitali i pracowników fabryk. Pan. Biden ostrzegł rosyjskiego przywódcę, że jego rząd musi wziąć odpowiedzialność za ataki z terytorium Rosji.

Przez kilka miesięcy panowała cisza, a rosyjskie władze dokonały nalotu na prominentną grupę hakerską w Moskwie. Jednak ta współpraca zakończyła się wraz z wybuchem wojny na Ukrainie.

W przemówieniu wygłoszonym w tym tygodniu na Uniwersytecie Carnegie Mellon Jen Easterly, dyrektor Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury, określiła wysiłki administracji jako „przerzucanie odpowiedzialności na firmy, które nie wywiązują się z obowiązku opieki nad klientami”. ”.

„Konsumenci i firmy oczekują, że produkty zakupione od renomowanego dostawcy będą działać zgodnie z ich oczekiwaniami i nie stwarzać nadmiernego ryzyka” – powiedziała Easterly, dodając, że „administracja powinna opracować przepisy, które uniemożliwiają producentom technologii zrzeczenie się odpowiedzialności”. Umowa” to powszechna praktyka, którą niektórzy ludzie zauważają w drobnym druku zakupów oprogramowania.