О НОВОЙ АМЕРИКАНСКОЙ СТРАТЕГИИ КИБЕРБЕЗОПАСНОСТИ
Владимир Овчинский, Юрий Жданов
Основные положения и особенности
2 марта 2023 года президент США Байден утвердил новую Национальную стратегию кибербезопасности. Стратегия, разработанная офисом национального директора по кибербезопасности (ONCD) Белого дома, прошла заключительные этапы межведомственного утверждения с участием более 20 департаментов и агентств.
Бюджетный запрос президента США на 2023 финансовый год включал 2,5 миллиарда долларов для обеспечения инфраструктурной кибербезопасности, что примерно на 18% больше, чем было запрошено в 2022 году. Бюджетный запрос также включал около 11,2 миллиарда долларов для кибербезопасности Пентагона, что почти на 8% больше предыдущего запроса администрации.
Как отметил Байден во введении к Стратегии, «благодаря двухпартийному закону об инфраструктуре, администрация президента США инвестирует 65 миллиардов долларов, чтобы обеспечить каждому американцу доступ к надежному, высокоскоростному Интернету. И когда мы берем в руки свои смартфоны, чтобы поддерживать связь с близкими, заходим в социальные сети, чтобы поделиться своими идеями друг с другом, или подключаемся к Интернету для ведения бизнеса или удовлетворения любых наших основных потребностей, мы должны быть уверены в том, что основополагающая цифровая экосистема безопасна, надежна и защищена. Эта Национальная стратегия кибербезопасности подробно описывает комплексный подход, который моя администрация использует для повышения безопасности киберпространства и обеспечения того, чтобы Соединенные Штаты находились в наиболее сильной позиции для реализации всех преимуществ и потенциала нашего цифрового будущего.
Кибербезопасность необходима для базового функционирования нашей экономики, работы нашей критической инфраструктуры, силы нашей демократии и демократических институтов, конфиденциальности наших данных и коммуникаций, а также нашей национальной обороны. С самого начала работы моей администрации мы предпринимали решительные шаги по укреплению кибербезопасности. Я назначил старших должностных лиц по кибербезопасности в Белом доме и издал указ об улучшении кибербезопасности страны. Работая в тесном сотрудничестве с частным сектором, моя администрация предприняла шаги по защите американского народа от хакеров, привлечению к ответственности плохих игроков и киберпреступников и защите от все более злонамеренных киберкампаний, направленных против нашей безопасности и конфиденциальности. И мы работаем с нашими союзниками и партнерами по всему миру, чтобы улучшить наш потенциал для коллективной защиты от киберугроз со стороны авторитарных государств и реагирования на них, которые идут вразрез с нашими национальными интересами.
Эта стратегия признает, что активное сотрудничество, особенно между государственным и частным секторами, является необходимым условием обеспечения безопасности киберпространства. Она также решает системную проблему, связанную с тем, что слишком большая часть ответственности за кибербезопасность лежит на отдельных пользователях и небольших организациях . . .
. . . Мы будем сотрудничать с нашими союзниками и партнерами для укрепления норм ответственного поведения государств, привлечения стран к ответственности за безответственное поведение в киберпространстве и разрушения сетей преступников, стоящих за опасными кибератаками по всему миру. И мы будем работать с Конгрессом, чтобы обеспечить ресурсы и инструменты, необходимые для внедрения эффективных методов кибербезопасности в нашей наиболее важной инфраструктуре.
. . . Цифровое подключение должно быть инструментом, который поднимает и расширяет возможности людей повсюду, а не использоваться для репрессий и принуждения. Как подробно описано в данной стратегии, Соединённые Штаты готовы ответить на этот вызов с позиции силы, идя в ногу с нашими ближайшими союзниками и работая с партнерами во всем мире, которые разделяют наше видение светлого цифрового будущего».
Основные положения Стратегии национальной кибербезопасности США (март 2023 г.):
«Мы усвоили тяжелые уроки и добились значительного прогресса в совместной защите нашей цифровой экосистемы. Каждый день киберзащитники отражают атаки, поддерживаемые государством, и предотвращают преступные заговоры по всему миру. Но базовая структурная динамика цифровой экосистемы препятствует их усилиям. Ее компоненты по-прежнему подвержены сбоям, уязвимы для эксплуатации и часто используются злоумышленниками.
Мы должны внести фундаментальные изменения в базовую динамику цифровой экосистемы, переместив преимущество на ее защитников и постоянно сдерживая силы, которые могли бы ей угрожать. Наша цель — создать защищенную, устойчивую цифровую экосистему, в которой атаковать системы дороже, чем защищать их, где конфиденциальная или частная информация надежно защищена и охраняется, и где ни инциденты, ни ошибки не приводят к катастрофическим системным последствиям».
РАЗВИВАЮЩИЕСЯ ТЕНДЕНЦИИ
«Мир вступает в новую фазу углубления цифровой зависимости. Благодаря появлению новых технологий и все более сложных и взаимозависимых систем, кардинальные изменения в предстоящем десятилетии откроют новые возможности для процветания и благосостояния человека и одновременно умножат системные риски, связанные с небезопасными системами.
Программное обеспечение и системы становятся все более сложными, обеспечивая ценность для компаний и потребителей, но также повышая нашу коллективную незащищенность. Слишком часто мы накладываем новые функции и технологии на уже сложные и хрупкие системы в ущерб безопасности и устойчивости.
Повсеместное внедрение систем искусственного интеллекта, которые могут действовать неожиданно даже для своих создателей, повышает сложность и риски, связанные со многими из наших самых важных технологических систем.
Интернет продолжает объединять отдельных людей, предприятия, сообщества и страны на общих платформах, которые обеспечивают масштабные бизнес-решения и международный обмен. Но эта ускоряющаяся глобальная взаимосвязь также создает риски. Атака на одну организацию, сектор или государство может быстро перекинуться на другие сектора и регионы . . .
. . . По мере того, как наша жизнь переплетается с потоковым видео и аудио, носимыми устройствами и биометрическими технологиями, количество и интимность сбора персональных данных растёт экспоненциально . . .
. . . Взаимосвязь нового поколения разрушает границы между цифровым и физическим миром и подвергает опасности сбоя некоторые из наших самых важных систем. Наши заводы, электросети и водоочистные сооружения, а также другие важнейшие объекты инфраструктуры все чаще отказываются от старых аналоговых систем управления и быстро внедряют цифровые операционные технологии (ОТ). Передовые беспроводные технологии, IoT и космические средства, включая средства позиционирования, навигации и определения времени для гражданских и военных целей, мониторинга окружающей среды и погоды, а также повседневной деятельности в Интернете — от банковского дела до телемедицины — ускорят эту тенденцию, переводя многие из наших важнейших систем в режим онлайн и делая кибератаки по своей сути более разрушительными и влиятельными для нашей повседневной жизни».
ЗЛОУМЫШЛЕННИКИ
«Вредоносная кибердеятельность эволюционировала от надоедливой порчи, шпионажа и кражи интеллектуальной собственности до разрушительных атак на критически важную инфраструктуру, атак с использованием программ-выкупов и кампаний влияния с помощью кибертехнологий, направленных на подрыв доверия общества к основам нашей демократии. Инструменты и услуги наступательного взлома, включая иностранные коммерческие шпионские программы, которые раньше были доступны лишь небольшому числу стран с хорошими ресурсами, теперь стали широко доступны. Эти инструменты и услуги расширяют возможности стран, которые ранее не имели возможности нанести ущерб интересам США в киберпространстве, и создают растущую угрозу со стороны организованных преступных синдикатов.
Правительства Китая, России, Ирана, Северной Кореи и других автократических государств с ревизионистскими намерениями агрессивно используют передовые кибервозможности для достижения целей, противоречащих нашим интересам и общепринятым международным нормам. Их безрассудное пренебрежение верховенством закона и правами человека в киберпространстве угрожает национальной безопасности и экономическому процветанию США.
Китайская Народная Республика (КНР) сегодня представляет собой самую широкую, активную и постоянную угрозу как для государственных сетей, так и для сетей частного сектора и является единственной страной, имеющей как намерение изменить международный порядок, так и, во все большей степени, экономическую, дипломатическую, военную и технологическую мощь для этого. За последние десять лет она расширила кибер-операции за пределы кражи интеллектуальной собственности и стала нашим самым продвинутым стратегическим конкурентом, способным угрожать интересам США и доминировать над новыми технологиями, имеющими решающее значение для глобального развития. Успешно используя Интернет в качестве основы своего государства наблюдения и возможностей влияния, КНР экспортирует свое видение цифрового авторитаризма, стремясь сформировать глобальный Интернет по своему образу и подорвать права человека за пределами своих границ.
На протяжении более двух десятилетий российское правительство использует свои кибервозможности для дестабилизации ситуации в соседних странах и вмешательства во внутреннюю политику демократических государств по всему миру. Россия остается постоянной киберугрозой, поскольку она совершенствует свои возможности кибершпионажа, атак, влияния и дезинформации, чтобы принуждать суверенные страны, укрывать транснациональных преступников, ослаблять союзы и партнерства США и подрывать международную систему, основанную на правилах. . .
. . . Правительства Ирана и Корейской Народно-Демократической Республики (КНДР) также растут в своей изощренности и готовности вести вредоносную деятельность в киберпространстве. Иран использует кибервозможности для угроз союзникам США на Ближнем Востоке и в других странах, а КНДР ведет кибердеятельность для получения доходов от преступной деятельности, например, путем кражи криптовалюты, программ выкупа и размещения тайных работников информационных технологий (ИТ) для подпитки своих ядерных амбиций. Дальнейшее развитие этих возможностей может оказать значительное влияние на интересы США, союзников и партнеров.
Кибер-операции преступных синдикатов сегодня представляют угрозу национальной безопасности, общественной безопасности и экономическому процветанию США, их союзников и партнеров. Инциденты с использованием программ Ransomware нарушили работу важнейших служб и предприятий по всей стране и по всему миру — от энергопроводов и предприятий пищевой промышленности до школ и больниц. Общий экономический ущерб от атак ransomware продолжает расти, достигая миллиардов долларов США в год. Преступные синдикаты часто действуют в государствах, которые не сотрудничают с правоохранительными органами США и часто поощряют, укрывают или терпят такую деятельность».
ПУТЬ К УСТОЙЧИВОСТИ В КИБЕРПРОСТРАНСТВЕ
«Глубокое и прочное сотрудничество между заинтересованными сторонами в нашей цифровой экосистеме станет основой, на которой мы сделаем ее более защищенной, устойчивой и соответствующей ценностям США. Данная стратегия направлена на создание и укрепление сотрудничества по пяти основным направлениям: (1) Защита критической инфраструктуры, (2) Пресечение и уничтожение угроз, (3) Формирование рыночных сил для обеспечения безопасности и устойчивости, (4) Инвестиции в устойчивое будущее и (5) Формирование международных партнерств для достижения общих целей. Каждая из этих задач требует беспрецедентного уровня сотрудничества между соответствующими сообществами заинтересованных сторон, включая государственный сектор, частную промышленность, гражданское общество, а также международных союзников и партнеров. Столпы, составляющие данную стратегию, формулируют видение общей цели и приоритетов для этих сообществ, выделяют проблемы, с которыми они сталкиваются в достижении этого видения, и определяют стратегические цели, вокруг которых следует организовать их усилия.
Чтобы реализовать видение, изложенное в этих столпах, мы сделаем два фундаментальных изменения в том, как Соединенные Штаты распределяют роли, обязанности и ресурсы в киберпространстве».
ПЕРЕРАСПРЕДЕЛИТЬ ОТВЕТСТВЕННОСТЬ ЗА ЗАЩИТУ КИБЕРПРОСТРАНСТВА
Наиболее способные и обладающие наилучшими возможностями субъекты в киберпространстве должны стать лучшими распорядителями цифровой экосистемы. Сегодня конечные пользователи несут слишком большое бремя по снижению киберрисков. Частные лица, малый бизнес, государственные и местные органы власти, операторы инфраструктуры имеют ограниченные ресурсы и конкурирующие приоритеты, однако выбор этих субъектов может оказать значительное влияние на нашу национальную кибербезопасность. Кратковременный промах одного человека, использование устаревшего пароля или ошибочный переход по подозрительной ссылке не должны иметь последствий для национальной безопасности. Наша коллективная киберустойчивость не может зависеть от постоянной бдительности наших самых маленьких организаций и отдельных граждан.
Вместо этого, как в государственном, так и в частном секторе, мы должны больше требовать от наиболее способных и обладающих наилучшими возможностями участников, чтобы сделать нашу цифровую экосистему безопасной и устойчивой.
В свободном и взаимосвязанном обществе защита данных и обеспечение надежности критических систем должны быть обязанностью владельцев и операторов систем, которые хранят наши данные и обеспечивают функционирование нашего общества, а также поставщиков технологий, которые создают и обслуживают эти системы.
Роль правительства заключается в защите собственных систем, обеспечении защиты систем частных организаций, особенно критической инфраструктуры, а также в выполнении основных государственных функций, таких как дипломатия, сбор разведывательной информации, наложение экономических издержек, обеспечение соблюдения закона и проведение разрушительных действий для противодействия киберугрозам».
ПЕРЕСТРОИТЬ СТИМУЛЫ В ПОЛЬЗУ ДОЛГОСРОЧНЫХ ИНВЕСТИЦИЙ
«Мы должны обеспечить, чтобы рыночные силы и государственные программы в равной степени поощряли безопасность и устойчивость, формировали надежный и разнообразный киберперсонал, внедряли безопасность и устойчивость на основе дизайна, стратегически координировали инвестиции в исследования и разработки в области кибербезопасности и способствовали совместному управлению нашей цифровой экосистемой. Для достижения этих целей федеральное правительство сосредоточится на точках воздействия, где минимально инвазивные действия дадут наибольший выигрыш в защищенности и системной устойчивости.
Федеральное правительство инвестирует средства поколения в обновление нашей инфраструктуры, цифровизацию и декарбонизацию наших энергетических систем, обеспечение безопасности цепочек поставок полупроводников, модернизацию наших криптографических технологий и омоложение приоритетов нашей внешней и внутренней политики. У Соединенных Штатов есть возможность изменить баланс стимулов, необходимых для создания более прочной и устойчивой основы, на которой будет строиться будущее нашей цифровой экосистемы».
ОПИРАЯСЬ НА СУЩЕСТВУЮЩУЮ ПОЛИТИКУ
«Президент США усилил лидерство Белого дома в сфере кибербезопасности, назначив опытных руководителей высшего звена на новые должности в Совете национальной безопасности (СНБ) и Офисе национального кибердиректора (ONCD), а также быстро включил уроки, извлеченные из этих и других инцидентов, в исполнительные действия.
Эти перспективные усилия заложили основу, на которой строится данная стратегия. Она была разработана наряду со Стратегией национальной безопасности и Стратегией национальной обороны широкой межведомственной группой и в ходе многомесячного процесса консультаций с частным сектором и гражданским обществом. . .
. . . Эта стратегия опирается на работу предыдущих администраций. Она заменяет Национальную киберстратегию 2018 года, но продолжает движение по многим из ее приоритетов, включая совместную защиту цифровой экосистемы.
Администрация по-прежнему привержена укреплению безопасности и устойчивости американских космических систем, в том числе путем реализации Директивы 5 космической политики «Принципы кибербезопасности для космических систем». Администрация также продолжает предпринимать важные усилия по обеспечению безопасности технологий следующего поколения, в том числе в рамках Национальной инициативы по искусственному интеллекту и Национальной стратегии по обеспечению безопасности 5G, а также других существующих стратегий и инициатив».
СТОЛП ПЕРВЫЙ | ЗАЩИТА КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ
«Администрация установила новые требования к кибербезопасности в некоторых критически важных секторах. В других секторах потребуются новые полномочия для установления правил, которые могут способствовать улучшению практики кибербезопасности в масштабах страны. Администрация взаимодействует с промышленными предприятиями в конкретных секторах, чтобы создать последовательную, предсказуемую нормативно-правовую базу кибербезопасности, ориентированную на достижение результатов в области безопасности и обеспечение непрерывности операций и функций, способствуя при этом сотрудничеству и инновациям. . .
. . . Мы должны создать новые и инновационные возможности, которые позволят владельцам и операторам критической инфраструктуры, федеральным агентствам, поставщикам продуктов и услуг, а также другим заинтересованным сторонам эффективно сотрудничать друг с другом на скорости и в масштабе. Федеральные агентства, поддерживающие поставщиков критической инфраструктуры, должны укрепить свои собственные возможности и способность сотрудничать с другими федеральными структурами. Когда происходят инциденты, федеральные усилия по реагированию должны быть скоординированы и тесно интегрированы с частным сектором и партнерами из штатов, местных, племенных и территориальных образований (SLTT).
Наконец, федеральное правительство может лучше поддержать защиту критической инфраструктуры, сделав свои собственные системы более защищенными и устойчивыми. Эта администрация привержена делу повышения кибербезопасности федерального правительства посредством долгосрочных усилий по реализации стратегии архитектуры нулевого доверия и модернизации инфраструктуры ИТ и ОТ. При этом федеральная кибербезопасность может стать примером для критической инфраструктуры по всей территории США, как успешно создавать и эксплуатировать безопасные и устойчивые системы».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 1.1: УСТАНОВИТЬ ТРЕБОВАНИЯ К КИБЕРБЕЗОПАСНОСТИ ДЛЯ ПОДДЕРЖКИ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ И ОБЩЕСТВЕННОЙ БЕЗОПАСНОСТИ
«В то время как добровольные подходы к кибербезопасности критической инфраструктуры привели к значительным улучшениям, отсутствие обязательных требований привело к неадекватным и непоследовательным результатам. Сегодняшний рынок недостаточно вознаграждает — а зачастую и ставит в невыгодное положение — владельцев и операторов критической инфраструктуры, которые инвестируют в проактивные меры по предотвращению или смягчению последствий киберинцидентов.
Регулирование может выровнять условия игры, обеспечив здоровую конкуренцию без ущерба для кибербезопасности и операционной устойчивости. Наша стратегическая среда требует современной и гибкой нормативно-правовой базы кибербезопасности, адаптированной к профилю риска каждого сектора, согласованной для сокращения дублирования, дополняющей сотрудничество государственного и частного секторов и учитывающей стоимость внедрения.
Новые и обновленные правила кибербезопасности должны быть выверены с учетом потребностей национальной и общественной безопасности, а также безопасности отдельных лиц, регулируемых организаций, их сотрудников, клиентов, операций и данных.
Администрация добилась прогресса в этой области, установив требования к кибербезопасности в таких ключевых секторах, как нефте- и газопроводы, авиация и железная дорога, под руководством Управления транспортной безопасности, и системы водоснабжения под руководством Агентства по охране окружающей среды.
Процесс сотрудничества между промышленностью и регулирующими органами позволит выработать нормативные требования, которые будут операционно и коммерчески жизнеспособными и обеспечат безопасную и устойчивую работу критической инфраструктуры. Наиболее эффективной и действенной нормативно-правовой базой будет та, которая будет создана задолго до кризиса, а не путем введения чрезвычайных правил после его наступления».
СОЗДАНИЕ НОРМАТИВНЫХ АКТОВ ПО КИБЕРБЕЗОПАСНОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ ИНФРАСТРУКТУРЫ
«Федеральное правительство будет использовать существующие полномочия для установления необходимых требований кибербезопасности в критически важных секторах. Там, где федеральные ведомства и агентства имеют пробелы в законодательных полномочиях по внедрению минимальных требований кибербезопасности или смягчению связанных с этим сбоев рынка, администрация будет работать с Конгрессом над их устранением. Там, где штаты или независимые регулирующие органы имеют полномочия, которые могут быть использованы для установления требований кибербезопасности, администрация будет поощрять их использовать эти полномочия обдуманно и скоординированно.
Регулирование должно быть основано на результатах деятельности, использовать существующие рамки кибербезопасности, добровольные консенсусные стандарты и рекомендации, включая Цели эффективности кибербезопасности Агентства по кибербезопасности и защите инфраструктуры (CISA) и Рамочную программу Национального института стандартов и технологий (NIST) по улучшению кибербезопасности критической инфраструктуры, и быть достаточно гибким, чтобы адаптироваться, когда противники наращивают свои возможности и меняют тактику. При установлении правил кибербезопасности для критической инфраструктуры регулирующим органам рекомендуется стимулировать принятие принципов безопасного проектирования, уделять приоритетное внимание доступности основных услуг и обеспечивать, чтобы системы были спроектированы таким образом, чтобы они могли безопасно выходить из строя и быстро восстанавливаться. Нормативные акты определяют минимальные ожидаемые методы или результаты обеспечения кибербезопасности, однако администрация поощряет и будет поддерживать дальнейшие усилия организаций, направленные на превышение этих требований.
Кроме того, эти и другие критически важные сектора зависят от кибербезопасности и устойчивости своих сторонних поставщиков услуг. Облачные услуги позволяют применять более эффективные и экономичные методы обеспечения кибербезопасности в масштабах страны, но они также необходимы для обеспечения операционной устойчивости во многих секторах критической инфраструктуры. Администрация будет выявлять пробелы в полномочиях по стимулированию более эффективной практики кибербезопасности в индустрии облачных вычислений и других важных услуг третьих сторон и работать с промышленностью, Конгрессом и регулирующими органами над их устранением».
ГАРМОНИЗАЦИЯ И ОПТИМИЗАЦИЯ НОВЫХ И СУЩЕСТВУЮЩИХ НОРМАТИВНЫХ АКТОВ
«В тех случаях, когда федеральные нормативные акты противоречат друг другу, дублируют друг друга или чрезмерно обременительны, регулирующие органы должны работать вместе, чтобы минимизировать этот вред.
При необходимости Соединенные Штаты будут добиваться согласования трансграничного регулирования, чтобы требования кибербезопасности не препятствовали цифровым торговым потокам. Там, где это возможно, регулирующие органы должны работать над гармонизацией не только положений и правил, но и оценок и аудитов регулируемых организаций. ONCD, в координации с Управлением по управлению и бюджету (OMB), возглавит усилия администрации по гармонизации нормативных актов в области кибербезопасности. Совет по отчетности о кибер-инцидентах будет координировать, устранять противоречия и согласовывать федеральные требования к отчетности об инцидентах».
ДАТЬ ВОЗМОЖНОСТЬ РЕГУЛИРУЕМЫМ ОРГАНИЗАЦИЯМ ПОЗВОЛИТЬ СЕБЕ БЕЗОПАСНОСТЬ
«Различные сектора критической инфраструктуры имеют разную способность поглощать затраты на кибербезопасность, начиная от низкодоходных секторов, которые не могут легко увеличить инвестиции без вмешательства, до тех, где предельные затраты на повышение кибербезопасности могут быть поглощены. В некоторых секторах может потребоваться регулирование для создания равных условий, чтобы компании не попали в ловушку конкуренции, стремясь занизить расходы своих коллег на кибербезопасность. В других секторах регулирующим органам рекомендуется обеспечить стимулирование необходимых инвестиций в кибербезопасность через процесс установления тарифов, налоговые структуры или другие механизмы. При установлении новых требований к кибербезопасности регулирующим органам рекомендуется проводить консультации с регулируемыми организациями, чтобы понять, каким образом эти требования будут обеспечены ресурсами. При поиске новых регулирующих полномочий Администрация будет работать с Конгрессом над разработкой нормативно-правовой базы, учитывающей ресурсы, необходимые для их реализации».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 1.2: РАСШИРЕНИЕ СОТРУДНИЧЕСТВА ГОСУДАРСТВЕННОГО И ЧАСТНОГО СЕКТОРОВ
«Защита критической инфраструктуры от вражеских действий и других угроз требует модели киберзащиты, которая имитирует распределенную структуру Интернета. Мы реализуем эту распределенную, сетевую модель путем развития и укрепления сотрудничества между защитниками посредством структурированных ролей и обязанностей и расширения возможностей связи, обеспечиваемых автоматизированным обменом данными, информацией и знаниями. Сочетание организационного сотрудничества и технологического взаимодействия позволит создать основанную на доверии «сеть сетей», которая будет способствовать повышению осведомленности о ситуации и стимулировать коллективные и синхронизированные действия киберзащитников, защищающих нашу критическую инфраструктуру.
CISA является национальным координатором по вопросам безопасности и устойчивости критической инфраструктуры. В этой роли CISA координирует работу с отраслевыми агентствами по управлению рисками (SRMA), что позволяет федеральному правительству расширить масштабы координации с владельцами и операторами критической инфраструктуры по всей территории США.
SRMA несут повседневную ответственность и обладают отраслевым опытом для повышения безопасности и устойчивости в своих секторах. В свою очередь, SRMA поддерживают отдельных владельцев и операторов в своих секторах, которые отвечают за защиту систем и активов, которыми они управляют. Организации по обмену и анализу информации (ISAO), отраслевые центры по обмену и анализу информации (ISACs) и подобные организации способствуют проведению операций по киберзащите в обширных и сложных секторах.
Федеральное правительство продолжит укреплять координацию между CISA и другими SRMA, инвестировать в развитие возможностей SRMA и иным образом предоставлять SRMA возможность активно реагировать на потребности владельцев и операторов критической инфраструктуры в своих секторах. Федеральное правительство будет сотрудничать с промышленностью для определения потребностей каждого сектора и оценки пробелов в существующих возможностях SRMA. Инвестиции федерального правительства в развитие возможностей SRMA позволят повысить безопасность и устойчивость всей критической инфраструктуры. SRMA будут координировать свою деятельность с CISA, чтобы улучшить их способность быть проактивными и реагировать на потребности своих секторов.
Опираясь на десятилетний опыт сотрудничества с ISACs и ISAOs, федеральное правительство будет работать с этими и другими группами для выработки общего видения того, как должна развиваться эта модель.
Ускорение оперативного сотрудничества потребует использования технологических решений для обмена информацией и координации оборонительных усилий. Реализация этой модели позволит обмениваться информацией в режиме реального времени, с возможностью принятия мер и разнонаправленным обменом данными, что позволит реагировать на угрозы со скоростью машины.
В партнерстве с частным сектором CISA и SRMA будут изучать технические и организационные механизмы для улучшения и развития межмашинного обмена данными. Федеральное правительство также будет углублять оперативное и стратегическое сотрудничество с поставщиками программного обеспечения, оборудования и управляемых услуг, способными изменить киберландшафт в пользу повышения безопасности и устойчивости».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 1.3: ИНТЕГРАЦИЯ ФЕДЕРАЛЬНЫХ ЦЕНТРОВ КИБЕРБЕЗОПАСНОСТИ
«Федеральное правительство должно координировать полномочия и возможности министерств и ведомств, которые несут коллективную ответственность за обеспечение защиты критической инфраструктуры.
Федеральные центры кибербезопасности служат в качестве узлов сотрудничества, объединяющих возможности всего правительства в области обороны страны, правоохранительной деятельности, разведки, дипломатической, экономической и военной миссий. После полной интеграции они будут способствовать внутриправительственной координации и позволят федеральному правительству эффективно и решительно поддерживать нефедеральных партнеров.
Администрация добилась прогресса в достижении этой цели, создав в CISA Объединенное сотрудничество по киберзащите (JCDC) для интеграции планирования и операций по киберзащите в рамках федерального правительства, частного сектора и международных партнеров; усиления возможностей Национальной объединенной оперативно-следственной группы по киберугрозам (NCIJTF) для координации действий правоохранительных органов и других мер по пресечению угроз; и активизации роли Центра интеграции разведданных по киберугрозам (CTIIC) в координации сбора разведданных, анализа и партнерства.
Модели оперативного сотрудничества в СРОУ, такие как пилотный Центр анализа угроз в энергетике (ETAC) Министерства энергетики (DOE), среда совместного обмена информацией оборонной промышленной базы Министерства обороны (DCISE) и Центр сотрудничества по кибербезопасности Агентства национальной безопасности (NSA), предоставляют возможности для своевременного, действенного и актуального обмена информацией непосредственно с партнерами из частного сектора в соответствующих отраслях.
Потребуются дальнейшие усилия для укрепления и интеграции оперативных возможностей федерального правительства и улучшения интеграции федеральных центров кибербезопасности. ONCD возглавит усилия администрации по усилению интеграции таких центров, выявлению пробелов в возможностях и разработке плана реализации для обеспечения быстрого и масштабного сотрудничества.
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 1.4: ОБНОВЛЕНИЕ ФЕДЕРАЛЬНЫХ ПЛАНОВ И ПРОЦЕССОВ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ
«Частный сектор способен смягчить последствия большинства кибер-инцидентов без прямой помощи со стороны федерального правительства. Когда требуется федеральная помощь, федеральное правительство должно представить единый, скоординированный, общеправительственный ответ. Организации, подвергающиеся киберугрозам, должны знать, в какие государственные учреждения следует обращаться для решения тех или иных задач. Федеральное правительство должно предоставить четкое руководство о том, как партнеры из частного сектора могут связаться с федеральными агентствами для получения поддержки во время кибер-инцидентов и какие формы поддержки может предоставить федеральное правительство.
В соответствии с президентской директивой 41 «Координация киберинцидентов в США», которая определяет ведущие роли Министерства юстиции (DOJ), Министерства внутренней безопасности (DHS) и Управления директора национальной разведки в работе по реагированию на угрозы, активы и разведывательные данные, соответственно, CISA возглавит процесс обновления подчиненного Национального плана реагирования на киберинциденты (NCIRP) с целью укрепления процессов, процедур и систем для более полной реализации политики «звонок одному — звонок всем». Когда любое федеральное агентство получает запрос о помощи, оно будет знать, какую поддержку может оказать федеральное правительство в целом, как связаться с нужными федеральными агентствами, которые могут оказать такую поддержку, и иметь доступ к эффективным механизмам обмена информацией. Поскольку большинство федеральных ответных мер осуществляется через местные отделения, NCIRP будет укреплять координацию на местном уровне, используя опыт успешной работы объединенных оперативных групп по борьбе с терроризмом.
Когда инциденты все же происходят, Закон 2022 года об отчетности о киберинцидентах в критической инфраструктуре (CIRCIA) повысит нашу осведомленность и способность эффективно реагировать. CIRCIA потребует от организаций в секторах критической инфраструктуры сообщать о киберинцидентах в CISA в течение нескольких часов. Эти своевременные уведомления и оперативный обмен соответствующей информацией CISA с Минюстом и другими заинтересованными сторонами в реагировании на инциденты укрепят нашу коллективную оборону, улучшат усилия по выявлению коренных причин инцидентов и будут способствовать принятию решений в правительстве о том, как реагировать. CISA будет консультироваться с SRMAs, Минюстом и другими федеральными агентствами в процессе разработки и внедрения правил CIRCIA, чтобы интегрировать системы отчетности об инцидентах и обеспечить обмен всей соответствующей информацией об инцидентах и принятие мер в режиме реального времени.
После крупных инцидентов мы обеспечим, чтобы сообщество кибербезопасности извлекло пользу из извлеченных уроков с помощью Совета по обзору кибербезопасности (CSRB). Созданный на основании Указа 14028 «Улучшение кибербезопасности нации», CSRB объединяет лидеров государственного и частного секторов кибербезопасности для рассмотрения крупных киберинцидентов, проведения авторитетного анализа фактов, выработки выводов, которые послужат основой и руководством для принятия мер по исправлению ситуации в отрасли, и предоставления рекомендаций по улучшению кибербезопасности нации в будущем. Администрация будет работать с Конгрессом над принятием закона о кодификации CSRB в рамках МНБ и предоставлении ему полномочий, необходимых для проведения всесторонних обзоров значительных инцидентов».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 1.5: МОДЕРНИЗАЦИЯ ФЕДЕРАЛЬНЫХ СИСТЕМ ЗАЩИТЫ
«Для выполнения своих обязанностей федеральное правительство нуждается в безопасных и устойчивых информационных, коммуникационных и операционных технологиях и услугах. В первые месяцы своей работы администрация определила новое стратегическое направление для федеральной кибербезопасности, опубликовав Указ 14028 «Улучшение кибербезопасности нации», что привело к выпуску НСМ 8 «Улучшение кибербезопасности систем национальной безопасности, Министерства обороны и разведывательного сообщества» и стратегии федеральной архитектуры нулевого доверия OMB.
Опираясь на этот импульс, администрация будет прилагать долгосрочные усилия по защите федерального предприятия и модернизации федеральных систем в соответствии с принципами «нулевого доверия», которые признают, что угрозам необходимо противостоять как внутри, так и за пределами традиционных сетевых границ. Сделав свои собственные сети более защищенными и устойчивыми, федеральное правительство станет примером для подражания в частном секторе».
КОЛЛЕКТИВНАЯ ЗАЩИТА ФЕДЕРАЛЬНЫХ ГРАЖДАНСКИХ АГЕНТСТВ
«Федеральные гражданские органы исполнительной власти (FCEB) отвечают за управление и обеспечение безопасности своих собственных ИТ- и ОТ-систем. В силу различий в структуре, задачах, возможностях и ресурсах ведомств, результаты обеспечения кибербезопасности в FCEB различны. Мы должны продолжать строить модель федеральной кибербезопасности, которая уравновешивает индивидуальные полномочия и возможности ведомств с преимуществами безопасности, достигаемыми за счет коллективного подхода к защите.
Мы будем продолжать укреплять федеральную сплоченность путем целенаправленных действий в рамках всего федерального правительства. OMB, в координации с CISA, разработает план действий по обеспечению безопасности систем FCEB посредством коллективной оперативной защиты, расширения доступности централизованных общих служб и снижения рисков цепочки поставок программного обеспечения. Эти усилия будут основываться на предыдущих программах и определять приоритетность действий, которые продвигают общегосударственный подход к защите информационных систем FCEB. Задача по снижению рисков цепочки поставок программного обеспечения, разработанная в координации с NIST, будет основываться на реализации Указа 14028 «Повышение кибербезопасности нации», включая усилия по составлению спецификаций программного обеспечения (SBOM), Рамочную программу NIST по разработке безопасного программного обеспечения и соответствующие усилия по повышению безопасности программного обеспечения с открытым исходным кодом».
МОДЕРНИЗАЦИЯ ФЕДЕРАЛЬНЫХ СИСТЕМ
«Федеральное правительство должно заменить или обновить системы ИТ и ОТ, которые не защищены от сложных киберугроз. Стратегия архитектуры нулевого доверия OMB предписывает агентствам FCEB внедрить многофакторную аутентификацию, шифровать свои данные, получить видимость всей поверхности атаки, управлять авторизацией и доступом, а также внедрить облачные инструменты безопасности. Эти и другие цели кибербезопасности не могут быть достигнуты, если федеральные ИТ- и ОТ-системы не будут модернизированы таким образом, чтобы они могли использовать критически важные технологии безопасности. OMB возглавит разработку многолетнего плана жизненного цикла для ускорения модернизации технологий FCEB, отдавая приоритет федеральным усилиям по устранению устаревших систем, которые дорого поддерживать и трудно защищать.
В плане будут определены этапы ликвидации всех унаследованных систем, неспособных реализовать нашу стратегию архитектуры нулевого доверия в течение десятилетия, или другие меры по снижению рисков для тех систем, которые не могут быть заменены в эти сроки. Замена устаревших систем более безопасными технологиями, в том числе путем ускорения миграции на облачные сервисы, повысит уровень кибербезопасности всего федерального правительства и, в свою очередь, улучшит безопасность и устойчивость цифровых услуг».
ЗАЩИТА СИСТЕМ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
Системы национальной безопасности (СНБ) хранят и обрабатывают некоторые из наиболее важных данных федерального правительства и должны быть защищены от широкого спектра кибер- и физических угроз, включая внутренние угрозы, киберпреступников и самых изощренных государственных противников. Директор АНБ, как национальный менеджер по NSS, будет координировать свои действия с OMB для разработки плана NSS в агентствах FCEB, который обеспечит выполнение требований NSM-8 по усилению кибербезопасности».
ВТОРОЙ КОМПОНЕНТ | УНИЧТОЖЕНИЕ И ЛИКВИДАЦИЯ СУБЪЕКТОВ УГРОЗ
«Соединенные Штаты будут использовать все инструменты национальной мощи для пресечения и ликвидации субъектов угроз, чьи действия угрожают нашим интересам. Эти усилия могут включать дипломатические, информационные, военные (как кинетические, так и кибернетические), финансовые, разведывательные и правоохранительные возможности. Наша цель — сделать злоумышленников неспособными проводить устойчивые кибер-кампании, угрожающие национальной или общественной безопасности США.
Скоординированные усилия федеральных и нефедеральных структур доказали свою эффективность в сдерживании злонамеренной кибердеятельности иностранных правительственных, криминальных и других угрожающих субъектов.
Федеральное правительство увеличило свой потенциал реагирования на киберинциденты:
арестовало и успешно преследовало в судебном порядке транснациональных киберпреступников и спонсируемых государством субъектов;
ввело санкции против злонамеренных киберакторов, включая запрет на поездки и отказ в доступе к поставщикам денежных услуг;
лишило субъектов угроз доступа к цифровой инфраструктуре и сетям жертв.
Федеральное правительство также нацелилось на финансовую инфраструктуру, используемую для незаконной деятельности:
разработало новые дипломатические инициативы по присвоению подрывной, разрушительной или иным образом дестабилизирующей кибердеятельности, чтобы привлечь субъектов к ответственности за их злонамеренное поведение;
вернуло незаконно нажитые активы на миллиарды долларов.
Наши усилия потребуют более тесного сотрудничества с партнерами из государственного и частного секторов для улучшения обмена разведданными, проведения масштабных кампаний по подрыву, отказа противникам в использовании американской инфраструктуры и предотвращения глобальных кампаний по борьбе с вымогательством».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 2.1: ИНТЕГРАЦИЯ ФЕДЕРАЛЬНЫХ МЕРОПРИЯТИЙ ПО ПРЕСЕЧЕНИЮ ДЕЯТЕЛЬНОСТИ
«Кампании по пресечению должны стать настолько устойчивыми и целенаправленными, чтобы преступная кибердеятельность стала невыгодной, а иностранные правительственные субъекты, занимающиеся вредоносной кибердеятельностью, перестали рассматривать ее как эффективное средство достижения своих целей.
Минюст и другие федеральные правоохранительные органы стали пионерами в комплексном использовании внутренних правовых органов совместно с частным сектором и международными союзниками и партнерами для подрыва инфраструктуры и ресурсов преступной деятельности в Интернете — от уничтожения известных ботнетов до конфискации криптовалюты, полученной в результате кампаний по борьбе с вымогательством и мошенничеством. Информация, полученная в ходе этих расследований, позволяет осуществлять другие мероприятия, такие как оповещение жертв, выпуск рекомендаций по кибербезопасности, действия частного сектора, введение санкций, дипломатические действия и разведывательные операции.
Стратегический подход Министерства обороны, заключающийся в опережающей защите, помог получить информацию о субъектах угроз, выявить и разоблачить вредоносное ПО и пресечь вредоносную деятельность до того, как она сможет повлиять на намеченные цели. Основываясь на извлеченных уроках и быстро меняющейся угрожающей среде,
Министерство обороны разработает обновленную киберстратегию ведомства, согласованную со Стратегией национальной безопасности, Стратегией национальной обороны и настоящей Национальной стратегией кибербезопасности. Новая стратегия DoD прояснит, как Киберкомандование США и другие компоненты DoD будут интегрировать операции в киберпространстве в свои усилия по защите от государственных и негосударственных субъектов, способных представлять угрозы стратегического уровня для интересов США, продолжая укреплять интеграцию и координацию операций с гражданскими, правоохранительными и разведывательными партнерами для пресечения вредоносной деятельности в масштабах страны.
Для увеличения объема и скорости этих комплексных кампаний по пресечению деятельности федеральное правительство должно продолжать развивать технологические и организационные платформы, позволяющие проводить непрерывные скоординированные операции.
NCIJTF, как межведомственный координационный центр для координации кампаний по пресечению деятельности всего правительства, расширит свои возможности для координации кампаний по пресечению деятельности и пресечению деятельности с большей скоростью, масштабом и частотой.
Аналогичным образом, Министерство обороны и разведывательное сообщество намерены задействовать весь спектр своих дополнительных полномочий для проведения кампаний по пресечению деятельности».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 2.2: УКРЕПЛЕНИЕ ОПЕРАТИВНОГО СОТРУДНИЧЕСТВА МЕЖДУ ГОСУДАРСТВЕННЫМ И ЧАСТНЫМ СЕКТОРАМИ ДЛЯ ПРЕСЕЧЕНИЯ
«Эффективное пресечение вредоносной кибердеятельности требует более регулярного сотрудничества между частными структурами, обладающими уникальными знаниями и возможностями, и федеральными агентствами, имеющими средства и полномочия для действий. . .
. . . Партнерам из частного сектора рекомендуется объединиться и организовать свои усилия через одну или несколько некоммерческих организаций, которые могут служить центрами для оперативного сотрудничества с федеральным правительством, например, Национальный альянс киберэкспертизы и обучения (NCFTA).
Сотрудничество по борьбе с угрозами должно осуществляться в форме оперативных временных ячеек, состоящих из небольшого числа доверенных операторов, размещаемых и поддерживаемых соответствующим центром. Используя виртуальные платформы для сотрудничества, члены ячейки будут обмениваться информацией в двух направлениях и быстро работать над устранением противника. Федеральное правительство быстро преодолеет барьеры на пути поддержки и использования этой модели сотрудничества, такие как требования безопасности и политика управления записями».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 2.3: УВЕЛИЧИТЬ СКОРОСТЬ И МАСШТАБ ОБМЕНА РАЗВЕДДАННЫМИ И ДАННЫМИ О ЖЕРТВАХ
«Своевременный обмен разведданными об угрозах между федеральными и нефедеральными партнерами повышает эффективность совместных усилий по уничтожению и ликвидации противника. Разведывательные данные по кибербезопасности из открытых источников и от частных компаний значительно повысили коллективную осведомленность о киберугрозах, но национальные разведданные, которые может собирать только правительство, остаются бесценными. Например, взаимодействие Центра сотрудничества по кибербезопасности АНБ с промышленными предприятиями на основе данных национальной разведки оказалось весьма эффективным для пресечения деятельности противника, направленной на оборонно-промышленную базу. Аналогичным образом, CISA обеспечивает постоянный, многонаправленный обмен информацией об угрозах с частным сектором через JCDC и, в координации с ФБР, использует эту информацию для ускорения оповещения жертв и снижения воздействия выявленных вторжений.
Федеральное правительство увеличит скорость и масштаб обмена информацией о киберугрозах, чтобы проактивно предупреждать киберзащитников и уведомлять жертв, когда правительство получает информацию о том, что организация активно атакуется или уже может быть взломана.
SRMA, в координации с CISA, правоохранительными органами и CTIIC, определят потребности и приоритеты разведки в своем секторе и разработают процессы обмена предупреждениями, техническими индикаторами, контекстом угроз и другой соответствующей информацией с правительственными и неправительственными партнерами.
Эти процессы должны предусматривать механизмы, позволяющие частному сектору своевременно предоставлять федеральному правительству обратную связь и свои собственные разведданные об угрозах, чтобы улучшить целевое назначение киберугроз для срыва и дальнейшего сбора разведданных. Федеральное правительство также пересмотрит политику и процессы рассекречивания, чтобы определить условия, при которых продление дополнительного секретного доступа и расширение допусков необходимо для предоставления действенных разведданных владельцам и операторам критической инфраструктуры».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 2.4: ПРЕДОТВРАЩЕНИЕ ЗЛОУПОТРЕБЛЕНИЙ В ОТНОШЕНИИ БАЗИРУЮЩЕЙСЯ В США ИНФРАСТРУКТУРЫ
«Вредоносные киберсубъекты используют американскую облачную инфраструктуру, регистраторов доменов, хостинг-провайдеров, провайдеров электронной почты и другие цифровые услуги для осуществления преступной деятельности, злонамеренных операций влияния и шпионажа против отдельных жертв, предприятий, правительств и других организаций в США и за рубежом. Часто эти услуги арендуются через иностранных посредников, которые имеют несколько степеней разделения со своими американскими провайдерами, что ограничивает возможности этих провайдеров по рассмотрению жалоб на злоупотребления или реагированию на судебный процесс со стороны американских властей.
Федеральное правительство будет работать с поставщиками облачных и других интернет-инфраструктур, чтобы быстро выявлять случаи злонамеренного использования инфраструктуры, расположенной в США, делиться сообщениями о злонамеренном использовании с правительством, облегчать жертвам сообщения о злоупотреблениях в этих системах и усложнять злоумышленникам получение доступа к этим ресурсам.
Все поставщики услуг должны предпринимать разумные попытки обезопасить использование своей инфраструктуры от злоупотреблений или другого преступного поведения. Администрация будет уделять первоочередное внимание принятию и применению основанного на оценке рисков подхода к кибербезопасности среди провайдеров инфраструктуры как услуги, который учитывает известные методы и индикаторы вредоносной деятельности, в том числе посредством реализации Указа 13984 «Принятие дополнительных мер для преодоления национальной чрезвычайной ситуации в отношении значительной вредоносной деятельности с использованием кибертехнологий». Выполнение этого приказа усложнит для противников задачу злоупотребления инфраструктурой США, обеспечив при этом защиту частной жизни».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 2.5: ПРОТИВОДЕЙСТВИЕ КИБЕРПРЕСТУПНОСТИ, ПОБЕДА НАД ВЫКУПНЫМИ ПРОГРАММАМИ
“Программы – вымогатели (ransomware) представляет собой угрозу национальной безопасности, общественной безопасности и экономическому процветанию. Операторы ransomware нарушили работу больниц, школ, трубопроводов, государственных служб и других важнейших объектов инфраструктуры и основных служб. Действуя из безопасных гаваней, таких как Россия, Иран и Северная Корея, разработчики ransomware используют плохие методы кибербезопасности, чтобы взять под контроль сети жертв, и используют криптовалюты для получения вымогательских платежей и отмывания своих доходов.
Учитывая воздействие ransomware на ключевые услуги критической инфраструктуры, Соединенные Штаты будут использовать все элементы национальной мощи для противодействия этой угрозе по четырем направлениям: (1) использование международного сотрудничества для разрушения экосистемы ransomware и изоляции тех стран, которые служат безопасным убежищем для преступников; (2) расследование преступлений, связанных с ransomware, и использование правоохранительных и других органов для пресечения деятельности инфраструктуры и субъектов ransomware; (3) повышение устойчивости критической инфраструктуры к атакам ransomware; и (4) борьба со злоупотреблением виртуальной валютой для отмывания платежей за выкуп.
Поскольку ransomware является проблемой без границ, требующей международного сотрудничества, Белый дом созвал Инициативу по борьбе с ransomware (CRI) с участием представителей более чем тридцати стран. CRI провела глобальные учения для повышения устойчивости и, начиная с января 2023 года, запустила международную целевую группу по борьбе с ransomware под руководством Австралии для обмена информацией о субъектах и инфраструктуре, осуществляющих атаки ransomware, которая будет поддерживать и ускорять существующие, часто скоординированные усилия стран-членов CRI по пресечению атак. КРИ также будет способствовать синхронизации политических и дипломатических усилий своих членов.
Наш подход будет также включать в себя борьбу с незаконными криптовалютными биржами, на которые опираются операторы выкупных программ, и улучшение международного внедрения стандартов по борьбе с незаконным финансированием виртуальных активов. В США финансовые учреждения, предлагающие услуги в криптовалютах, подлежат контролю в области борьбы с отмыванием денег и финансированием терроризма (ПОД/ФТ), а Министерство финансов, Секретная служба, Минюст, ФБР и партнеры из частного сектора сотрудничают в отслеживании и пресечении платежей за выкупы. CRI заручился поддержкой членов организации по внедрению международных стандартов ПОД/ФТ, включая правила «знай своего клиента» (KYC), чтобы затруднить отмывание криптовалюты, полученной в результате атак на вирусы-вымогатели. В долгосрочной перспективе Соединенные Штаты будут поддерживать внедрение международных стандартов ПОД/ФТ на глобальном уровне, чтобы уменьшить использование криптовалют для незаконной деятельности, подрывающей наши национальные интересы, в рамках наших усилий по реализации Указа 14067 «Обеспечение ответственного развития цифровых активов».
В конечном счете, наиболее эффективным способом подорвать мотивацию этих преступных групп является снижение потенциала для получения прибыли. По этой причине Администрация настоятельно не рекомендует выплачивать выкупы. В то же время жертвы программ-выкупов — независимо от того, решили они заплатить выкуп или нет — должны сообщать о случившемся в правоохранительные органы и другие соответствующие ведомства. Такие сообщения расширяют возможности федерального правительства по оказанию помощи жертвам, предотвращению дальнейшего использования криптовалют для уклонения от контроля ПОД/ФТ и снижению вероятности успеха будущих атак на выкупные программы».
ТРЕТЬЕ НАПРАВЛЕНИЕ | ФОРМИРОВАНИЕ РЫНОЧНЫХ СИЛ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И УСТОЙЧИВОСТИ
«Продолжающиеся сбои в работе важнейших объектов инфраструктуры и кражи персональных данных ясно показывают, что одних только рыночных сил недостаточно для широкого внедрения передовых методов обеспечения кибербезопасности и устойчивости. В слишком многих случаях организации, которые предпочитают не инвестировать в кибербезопасность, негативно и несправедливо воздействуют на тех, кто инвестирует, зачастую непропорционально сильно влияя на малый бизнес и наши наиболее уязвимые сообщества. Хотя рыночные силы остаются первым и лучшим путем к гибким и эффективным инновациям, они не смогли должным образом мобилизовать промышленность на приоритетное обеспечение наших основных экономических интересов и интересов национальной безопасности.
Для решения этих проблем Администрация будет формировать долгосрочную безопасность и устойчивость цифровой экосистемы как к сегодняшним угрозам, так и к завтрашним вызовам. Мы должны заставить распорядителей наших данных нести ответственность за защиту персональных данных; стимулировать разработку более безопасных подключенных устройств; и изменить законы, регулирующие ответственность за потерю данных и ущерб, причиненный в результате ошибок кибербезопасности, уязвимостей программного обеспечения и других рисков, создаваемых программным обеспечением и цифровыми технологиями. Мы будем использовать покупательную способность федерального правительства и предоставление грантов для стимулирования безопасности. Мы также изучим, как правительство может стабилизировать рынки страхования от катастрофических рисков, чтобы стимулировать улучшение практики кибербезопасности и обеспечить уверенность рынка в случае возникновения катастрофических событий».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 3.1: ОБЕСПЕЧИТЬ ПОДОТЧЕТНОСТЬ РАСПОРЯДИТЕЛЕЙ НАШИХ ДАННЫХ
«Резкое распространение личной информации расширяет среду угроз и увеличивает воздействие утечек данных на потребителей. Когда организации, располагающие данными о частных лицах, не выполняют функции ответственного распорядителя этих данных, они перекладывают издержки на рядовых американцев. Зачастую наибольший ущерб ложится на уязвимые слои населения, для которых риски, связанные с их персональными данными, могут нанести несоразмерный вред.
Администрация поддерживает законодательные усилия по введению надежных и четких ограничений на сбор, использование, передачу и хранение персональных данных и обеспечению надежной защиты таких чувствительных данных, как геолокация и информация о здоровье. Это законодательство также должно установить национальные требования по защите персональных данных в соответствии со стандартами и рекомендациями, разработанными NIST”.
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 3.2: СТИМУЛИРОВАТЬ РАЗРАБОТКУ БЕЗОПАСНЫХ УСТРОЙСТВ IOT
«Устройства Интернета вещей (IoT), включая как потребительские товары, такие как фитнес-трекеры и радионяни, так и промышленные системы управления и датчики, создают новые источники связи в наших домах и на предприятиях. Однако многие из развернутых сегодня устройств IoT недостаточно защищены от угроз кибербезопасности. Слишком часто они устанавливаются с неадекватными настройками по умолчанию, их трудно или невозможно обновить, либо они оснащены расширенными, а иногда и ненужными возможностями, которые позволяют осуществлять злонамеренные кибердействия в отношении критически важных физических и цифровых систем. Недавние уязвимости IoT показали, как легко злоумышленники могут использовать эти устройства для создания ботнетов и слежки.
Администрация продолжит повышать кибербезопасность IoT посредством федеральных исследований и разработок (R&D), закупок и управления рисками, как это предусмотрено в Законе об улучшении кибербезопасности IoT от 2020 года. Кроме того, администрация продолжит развивать программы маркировки безопасности IoT в соответствии с указаниями Указа 14028 «Повышение кибербезопасности нации». Благодаря расширению маркировки безопасности IoT потребители смогут сравнивать средства защиты кибербезопасности, предлагаемые различными продуктами IoT, что создаст рыночный стимул для повышения безопасности всей экосистемы IoT”.
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 3.3: ПЕРЕЛОЖИТЬ ОТВЕТСТВЕННОСТЬ ЗА НЕБЕЗОПАСНЫЕ ПРОГРАММНЫЕ ПРОДУКТЫ И УСЛУГИ
«Рынки налагают неадекватные издержки на те организации, которые внедряют уязвимые продукты или услуги в нашу цифровую экосистему, и часто вознаграждают их. Слишком многие производители игнорируют передовые методы безопасной разработки, поставляют продукты с небезопасными конфигурациями по умолчанию или известными уязвимостями, а также интегрируют программное обеспечение сторонних производителей с непроверенным или неизвестным происхождением. Производители программного обеспечения могут использовать свое положение на рынке для полного отказа от ответственности по контракту, что еще больше снижает их стимул следовать принципам безопасной разработки или проводить тестирование перед выпуском. Низкий уровень безопасности программного обеспечения значительно повышает системный риск во всей цифровой экосистеме и приводит к тому, что конечная цена ложится на плечи американских граждан.
Мы должны начать перекладывать ответственность на те организации, которые не принимают разумных мер предосторожности для защиты своего программного обеспечения, признавая при этом, что даже самые передовые программы защиты программного обеспечения не могут предотвратить все уязвимости. Компании, создающие программное обеспечение, должны иметь свободу для инноваций, но они также должны нести ответственность, если они не выполняют обязанности по защите потребителей, предприятий или поставщиков критической инфраструктуры. Ответственность должна быть возложена на заинтересованные стороны, способные принять меры для предотвращения неблагоприятных последствий, а не на конечных пользователей, которые часто несут последствия небезопасного программного обеспечения, и не на разработчика компонента с открытым исходным кодом, интегрированного в коммерческий продукт. Это будет стимулировать рынок к производству более безопасных продуктов и услуг, сохраняя при этом инновации и способность стартапов и других малых и средних предприятий конкурировать с лидерами рынка.
Администрация будет работать с Конгрессом и частным сектором над разработкой законодательства, устанавливающего ответственность за программные продукты и услуги. Любое такое законодательство должно препятствовать производителям и издателям программного обеспечения, обладающим рыночной властью, полностью отказываться от ответственности по контракту и устанавливать более высокие стандарты заботы о программном обеспечении в конкретных сценариях высокого риска. Чтобы начать формировать стандарты заботы о безопасной разработке программного обеспечения, Администрация будет стимулировать разработку адаптируемой структуры безопасной гавани для защиты от ответственности компаний, которые безопасно разрабатывают и поддерживают свои программные продукты и услуги. Эта безопасная гавань будет опираться на текущие лучшие практики разработки безопасного программного обеспечения, такие как NIST Secure Software Development Framework. Она также должна развиваться со временем, включая новые инструменты для безопасной разработки программного обеспечения, прозрачности программного обеспечения и обнаружения уязвимостей.
Для дальнейшего стимулирования принятия практики разработки безопасного программного обеспечения администрация будет поощрять скоординированное раскрытие уязвимостей во всех типах технологий и секторах; способствовать дальнейшему развитию SBOMs; и разрабатывать процесс выявления и снижения риска, представляемого неподдерживаемым программным обеспечением, которое широко используется или поддерживает критическую инфраструктуру. В партнерстве с частным сектором и сообществом разработчиков программного обеспечения с открытым исходным кодом федеральное правительство также продолжит инвестировать в разработку безопасного программного обеспечения, включая языки, безопасные для памяти, и методы разработки программного обеспечения, фреймворки и инструменты тестирования».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 3.4: ИСПОЛЬЗОВАНИЕ ФЕДЕРАЛЬНЫХ ГРАНТОВ И ДРУГИХ СТИМУЛОВ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
«Федеральные программы грантов предлагают стратегические возможности для инвестиций в критическую инфраструктуру, которая проектируется, разрабатывается, внедряется и поддерживается с учетом кибербезопасности и устойчивости ко всем опасностям. Благодаря программам, финансируемым в рамках двухпартийного закона об инфраструктуре, Закона о снижении инфляции и Закона о CHIPS и науке, Соединенные Штаты раз в поколение делают инвестиции в нашу инфраструктуру и поддерживающую ее цифровую экосистему. Администрация привержена делу осуществления инвестиций таким образом, чтобы повысить нашу коллективную системную устойчивость.
Федеральное правительство будет сотрудничать с организациями SLTT, частным сектором и другими партнерами, чтобы сбалансировать требования кибербезопасности для заявителей с технической помощью и другими формами поддержки. Вместе мы сможем стимулировать инвестиции в критически важные продукты и услуги, которые безопасны и устойчивы в силу своей конструкции, а также поддерживать и стимулировать безопасность и устойчивость на протяжении всего жизненного цикла критически важной инфраструктуры. Федеральное правительство также будет уделять приоритетное внимание финансированию программ исследований, разработок и демонстраций (RD&D) в области кибербезопасности, направленных на укрепление кибербезопасности и устойчивости критической инфраструктуры. Кроме того, администрация будет работать с Конгрессом над разработкой других механизмов стимулирования для внедрения лучших практик кибербезопасности в масштабах страны».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 3.5: ИСПОЛЬЗОВАНИЕ ФЕДЕРАЛЬНЫХ ЗАКУПОК ДЛЯ ПОВЫШЕНИЯ ПОДОТЧЕТНОСТИ
«Контрактные требования к поставщикам, которые продают продукцию федеральному правительству, являются эффективным инструментом для повышения кибербезопасности. Указ 14028 «Улучшение кибербезопасности страны» развивает этот подход, обеспечивая усиление и стандартизацию контрактных требований по кибербезопасности во всех федеральных агентствах. Продолжение апробации новых концепций по установлению, обеспечению и проверке требований кибербезопасности через закупки может привести к появлению новых и масштабируемых подходов.
Когда компании берут на себя контрактные обязательства по соблюдению передовых методов обеспечения кибербезопасности перед федеральным правительством, они должны их выполнять. Инициатива гражданского кибермошенничества (CCFI) использует полномочия Минюста США в соответствии с Законом о ложных претензиях для подачи гражданских исков против правительственных грантополучателей и подрядчиков, не выполняющих обязательства по кибербезопасности. В рамках CCFI будут привлекаться к ответственности организации или лица, которые подвергают риску информацию или системы США, сознательно предоставляя некачественные продукты или услуги в области кибербезопасности, сознательно искажая информацию о своих методах или протоколах кибербезопасности или сознательно нарушая обязательства по мониторингу и сообщению о киберинцидентах и нарушениях».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 3.6: ИЗУЧИТЬ ВОЗМОЖНОСТЬ СОЗДАНИЯ ФЕДЕРАЛЬНОЙ СИСТЕМЫ КИБЕРСТРАХОВАНИЯ
«Когда происходят катастрофические инциденты, правительство несет ответственность за стабилизацию экономики и обеспечение уверенности в неопределенные времена. В случае катастрофического кибер-инцидента федеральное правительство может быть призвано стабилизировать экономику и помочь восстановлению. Структурирование ответных мер до наступления катастрофического события, а не поспешная разработка пакета помощи после случившегося, может обеспечить определенность для рынков и сделать страну более устойчивой. Администрация оценит необходимость и возможные структуры федерального страхового ответа на катастрофические киберпроисшествия, который будет поддерживать существующий рынок киберстрахования. При разработке этой оценки администрация будет запрашивать информацию и консультироваться с Конгрессом, государственными регулирующими органами и заинтересованными сторонами в отрасли».
ЧЕТВЕРТЫЙ КОМПОНЕНТ | ИНВЕСТИЦИИ В УСТОЙЧИВОЕ БУДУЩЕЕ
«Основополагающие элементы нашей цифровой экосистемы, такие как Интернет, являются продуктом постоянных и взаимоподдерживающих инвестиций как государственного, так и частного секторов. Однако государственные и частные инвестиции в кибербезопасность долгое время отставали от угроз и вызовов, с которыми мы сталкиваемся. Поскольку мы создаем новое поколение цифровой инфраструктуры, от телекоммуникаций следующего поколения и IoT до распределенных энергетических ресурсов, и готовимся к революционным изменениям в нашем технологическом ландшафте, вызванным искусственным интеллектом и квантовыми вычислениями, необходимость устранения этого инвестиционного пробела становится все более насущной.
Федеральное правительство должно использовать стратегические государственные инвестиции в инновации, НИОКР и образование для достижения результатов, которые являются экономически устойчивыми и служат национальным интересам. Мы будем использовать программу регионального инновационного развития Национального научного фонда (NSF), давнюю программу «Безопасное и надежное киберпространство», новые грантовые программы и возможности финансирования, созданные в рамках двухпартийного закона об инфраструктуре, закона о снижении инфляции, а также закона о CHIPS и науке; производственные институты и другие элементы федерального предприятия по исследованиям и разработкам.
Эти инвестиции обеспечат постоянное лидерство США в области технологий и инноваций в рамках современной промышленной и инновационной стратегии. Десятилетия, в течение которых противники и злоумышленники использовали наши технологии и инновации против нас, чтобы украсть нашу интеллектуальную собственность, вмешаться в наш избирательный процесс или повлиять на него, а также подорвать нашу национальную оборону, показали, что лидерства в инновациях без обеспечения безопасности недостаточно. Мы дополним наши усилия по опережению других стран в области инноваций целенаправленными, скоординированными действиями по оптимизации критически важных и новых технологий для обеспечения кибербезопасности по мере их разработки и развертывания. Мы обеспечим, чтобы устойчивость была не дискреционным элементом новых технических возможностей, а коммерчески жизнеспособным элементом процесса инноваций и развертывания».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 4.1: ОБЕСПЕЧЕНИЕ ТЕХНИЧЕСКОЙ ОСНОВЫ ИНТЕРНЕТА
«Многие технические основы цифровой экосистемы уязвимы по своей природе. Каждый раз, когда мы строим что-то новое на этой основе, мы добавляем новые уязвимости и увеличиваем наш коллективный риск. Мы должны предпринять шаги по смягчению наиболее актуальных из этих повсеместных проблем, таких как уязвимости протокола Border Gateway Protocol, незашифрованные запросы к системе доменных имен и медленное внедрение IPv6. Такая «чистка», направленная на снижение системного риска, требует определения наиболее актуальных проблем безопасности, дальнейшего развития эффективных мер безопасности и тесного сотрудничества между государственным и частным секторами для снижения риска без нарушения работы платформ и сервисов, построенных на этой инфраструктуре. Федеральное правительство будет играть ведущую роль, обеспечивая внедрение в своих сетях этих и других мер безопасности, а также сотрудничая с заинтересованными сторонами в разработке и внедрении решений, которые повысят безопасность экосистемы Интернета, и поддерживая исследования для понимания и устранения причин медленного внедрения.
Сохранение и расширение открытого, свободного, глобального, совместимого, надежного и безопасного Интернета требует постоянного участия в процессах разработки стандартов, чтобы привить наши ценности и обеспечить, чтобы технические стандарты создавали технологии, которые являются более безопасными и устойчивыми. Поскольку авторитарные режимы стремятся изменить Интернет и его многостороннюю основу, чтобы обеспечить контроль, цензуру и слежку со стороны правительства, Соединенные Штаты и их зарубежные партнеры и партнеры из частного сектора будут реализовывать многостороннюю стратегию для сохранения технического совершенства, защиты нашей безопасности, повышения экономической конкурентоспособности, развития цифровой торговли и обеспечения того, чтобы «правила дорожного движения» для технологических стандартов поддерживали принципы прозрачности, открытости, консенсуса, релевантности и согласованности. Поддерживая неправительственные организации по разработке стандартов (SDO), США будут сотрудничать с лидерами промышленности, международными союзниками, академическими институтами, профессиональными обществами, группами потребителей и некоммерческими организациями для обеспечения безопасности новых технологий, обеспечения операционной совместимости, содействия глобальной рыночной конкуренции, защиты нашей национальной безопасности и экономических преимуществ».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 4.2: АКТИВИЗАЦИЯ ФЕДЕРАЛЬНЫХ ИССЛЕДОВАНИЙ И РАЗРАБОТОК В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ
«Благодаря федеральным усилиям, направленным на приоритизацию исследований и разработок в области защищенных и устойчивых архитектур и снижение уязвимости базовых технологий, мы можем обеспечить, чтобы технологии завтрашнего дня были более безопасными, чем сегодняшние.
В рамках обновления Федерального стратегического плана исследований и разработок в области кибербезопасности федеральное правительство определит, расставит приоритеты и будет стимулировать сообщество исследователей, разработчиков и демонстраторов (RD&D) для активного предотвращения и снижения рисков кибербезопасности в существующих технологиях и технологиях следующего поколения. Министерства и ведомства будут направлять проекты НИОКР на повышение кибербезопасности и устойчивости в таких областях, как искусственный интеллект, операционные технологии и промышленные системы управления, облачная инфраструктура, телекоммуникации, шифрование, прозрачность систем и аналитика данных, используемых в критической инфраструктуре. Эти усилия будут поддерживаться федеральным предприятием НИОКР, включая NSF, Национальные лаборатории DOE и другие финансируемые федеральным правительством центры исследований и разработок (FFRDCs), а также посредством партнерства с научными кругами, производителями, технологическими компаниями, владельцами и операторами.
Эти инвестиции в НИОКР будут сосредоточены на обеспечении трех семейств технологий, которые окажутся решающими для лидерства США в предстоящем десятилетии: технологии, связанные с вычислениями, включая микроэлектронику, квантовые информационные системы и искусственный интеллект; биотехнологии и биопроизводство; и технологии чистой энергии. Эти усилия будут способствовать проактивному выявлению потенциальных уязвимостей, а также исследованиям по их смягчению. Она также будет поддерживать более широкую современную промышленную и инновационную стратегию для продвижения скоординированных и стратегических инноваций и создания рынков для надежных продуктов и услуг путем комплексного использования федеральных инвестиционных механизмов, федеральной покупательной способности и федерального регулирования».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 4.3: ПОДГОТОВКА К НАШЕМУ ПОСТКВАНТОВОМУ БУДУЩЕМУ
«Надежное шифрование является основой кибербезопасности и глобальной коммерции. Это основной способ защиты наших данных в Интернете, проверки конечных пользователей, аутентификации подписей и подтверждения точности информации. Но квантовые вычисления способны разрушить некоторые из самых распространенных стандартов шифрования, используемых сегодня. Мы должны определить приоритеты и ускорить инвестиции в повсеместную замену оборудования, программного обеспечения и услуг, которые могут быть легко взломаны квантовыми компьютерами, чтобы защитить информацию от будущих атак.
Чтобы сбалансировать продвижение и развитие квантовых вычислений с угрозами для цифровых систем, NSM 10 «Продвижение лидерства Соединенных Штатов в квантовых вычислениях при снижении рисков для уязвимых криптографических систем» устанавливает процесс своевременного перехода криптографических систем страны на совместимую квантово-устойчивую криптографию. Федеральное правительство определит приоритетность перехода уязвимых общественных сетей и систем на квантово-устойчивые криптографические среды и разработает дополнительные стратегии снижения рисков для обеспечения криптографической гибкости перед лицом неизвестных будущих рисков. Частный сектор должен следовать модели правительства в подготовке собственных сетей и систем к пост-квантовому будущему».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 4.4: ОБЕСПЕЧИТЬ БУДУЩЕЕ ЧИСТОЙ ЭНЕРГИИ
Наш ускоряющийся национальный переход к экологически чистой энергии приводит к появлению нового поколения взаимосвязанных аппаратных и программных систем, которые способны повысить устойчивость, безопасность и эффективность американских электрических сетей. Эти технологии, включая распределенные энергоресурсы, «умные» устройства для выработки и хранения энергии, современные облачные платформы управления электросетями, а также сети передачи и распределения электроэнергии, предназначенные для управляемых нагрузок большой мощности, являются гораздо более сложными, автоматизированными и взаимосвязанными в цифровом формате, чем системы электросетей предыдущих поколений.
Поскольку Соединенные Штаты инвестируют в новую энергетическую инфраструктуру целого поколения, администрация воспользуется этой стратегической возможностью для обеспечения кибербезопасности на упреждающей основе путем реализации Национальной кибер-информированной инженерной стратегии, разработанной по указанию Конгресса, вместо того, чтобы разрабатывать отдельные элементы контроля безопасности после широкого развертывания этих подключенных устройств. Администрация координирует работу заинтересованных сторон в федеральном правительстве, промышленности и SLTT по развертыванию безопасной, совместимой сети зарядных устройств для электромобилей, инфраструктуры заправки с нулевым уровнем выбросов, а также транзитных и школьных автобусов с нулевым уровнем выбросов. МЭ, благодаря таким усилиям, как Акселератор кибербезопасности чистой энергии (CECA) и программа «Energy Cyber Sense», осуществляемая под руководством двухпартийного закона об инфраструктуре, и Национальные лаборатории возглавляют усилия правительства по обеспечению безопасности сети чистой энергии будущего и генерируют передовые методы обеспечения безопасности, которые распространяются на другие сектора критической инфраструктуры. DOE также продолжит продвигать кибербезопасность для распределения электроэнергии и распределенных энергетических ресурсов в партнерстве с промышленностью, государствами, федеральными регуляторами, Конгрессом и другими агентствами».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 4.5: ПОДДЕРЖКА РАЗВИТИЯ ЭКОСИСТЕМЫ ЦИФРОВОЙ ИДЕНТИФИКАЦИИ
«Усовершенствованные решения и инфраструктура цифровой идентификации могут обеспечить более инновационную, справедливую, безопасную и эффективную цифровую экономику. Эти решения могут обеспечить более простой и безопасный доступ к государственным льготам и услугам, надежную связь и социальные сети, а также новые возможности для цифровых контрактов и платежных систем.
Сегодня отсутствие безопасных, сохраняющих частную жизнь и основанных на согласии решений в области цифровой идентификации позволяет процветать мошенничеству, увековечивает отчуждение и неравенство, а также вносит неэффективность в нашу финансовую деятельность и повседневную жизнь. Число краж личных данных растет: в 2021 году от утечек данных пострадают около 300 миллионов человек, а злоумышленники обманным путем получат миллиарды долларов из фондов помощи при пандемии COVID-19, предназначенных для малого бизнеса и нуждающихся людей. Эта злонамеренная деятельность затрагивает всех нас, принося значительные убытки предприятиям и оказывая вредное воздействие на программы государственных пособий и тех американцев, которые ими пользуются. Ни частный, ни государственный сектор, действуя независимо друг от друга, не смогли решить эту проблему.
Федеральное правительство будет поощрять и стимулировать инвестиции в надежные, поддающиеся проверке решения для цифровой идентификации, которые способствуют безопасности, доступности и совместимости, финансовой и социальной интеграции, конфиденциальности потребителей и экономическому росту. Опираясь на программу исследований цифровой идентификации под руководством NIST, санкционированную Законом о CHIPS и науке, эти усилия будут включать укрепление безопасности цифровых удостоверений; предоставление услуг по проверке атрибутов и удостоверений; проведение фундаментальных исследований; обновление стандартов, руководящих принципов и процессов управления для поддержки последовательного использования и операционной совместимости; и разработку платформ цифровой идентификации, способствующих прозрачности и измерению. Принимая во внимание, что государства в экспериментальном порядке внедряют мобильные водительские удостоверения, мы отмечаем и призываем сосредоточиться на вопросах конфиденциальности, безопасности, гражданских свобод, справедливости, доступности и операционной совместимости.
При развитии этих возможностей наши политики и технологии цифровой идентификации будут защищать и укреплять неприкосновенность частной жизни, гражданские права и гражданские свободы; защищать от непреднамеренных последствий, предвзятости и возможных злоупотреблений; предоставлять возможность выбора поставщика и добровольного использования отдельными лицами; повышать безопасность и совместимость; способствовать инклюзивности и доступности; повышать прозрачность и подотчетность в использовании технологий и данных отдельных лиц».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 4.6: РАЗРАБОТКА НАЦИОНАЛЬНОЙ СТРАТЕГИИ ДЛЯ УКРЕПЛЕНИЯ НАШИХ КИБЕРКАДРОВ
«Сегодня по всей стране существуют сотни тысяч незаполненных вакансий в сфере кибербезопасности, и этот разрыв растет. Работодатели как частного, так и государственного сектора сталкиваются с проблемами при наборе, найме и удержании специалистов для заполнения этих вакансий, что негативно сказывается на нашей коллективной кибербезопасности. Для решения этой проблемы ONCD будет руководить разработкой и контролировать реализацию Национальной стратегии в области кибернетических кадров и образования.
Эта стратегия предусматривает комплексный и скоординированный подход к расширению национальных киберкадров, повышению их разнообразия и расширению доступа к образовательным и учебным программам в области кибертехнологий. Она позволит удовлетворить потребность в специалистах по кибербезопасности во всех секторах экономики, уделяя особое внимание критической инфраструктуре, и даст возможность американской рабочей силе продолжать внедрять инновации в безопасные и устойчивые технологии следующего поколения. Стратегия укрепит и диверсифицирует федеральные киберработники, решая уникальные проблемы, с которыми сталкивается государственный сектор при наборе, удержании и развитии талантов и потенциала, необходимых для защиты федеральных данных и ИТ-инфраструктуры. Кроме того, стратегия признает, что проблемы киберкадров не являются уникальными для Соединенных Штатов, расширяя и вдохновляя усилия, предпринимаемые в других странах.
Стратегия будет опираться на существующие усилия по развитию национальных кадров в области кибербезопасности, включая Национальную инициативу по образованию в области кибербезопасности (NICE), программу CyberCorps: Программа «Стипендия за службу», программа «Национальные центры академического мастерства в области кибербезопасности», Программа обучения и помощи в области кибербезопасности, а также программа зарегистрированного ученичества. Стратегия также будет использовать текущие программы развития рабочей силы в NSF и других научных агентствах для дополнения программ федерального правительства.
Стратегия будет направлена на решение проблемы недостаточного разнообразия киберкадров. Работодатели нанимают слишком мало талантливых специалистов и профессиональных сетей, которые не в состоянии охватить все многообразие страны. Женщины, цветные люди, специалисты первого поколения и иммигранты, люди с ограниченными возможностями и ЛГБТКИ+ — вот те сообщества, которые недопредставлены в этой области. Решение проблемы системного неравенства и преодоление барьеров, препятствующих многообразию киберработников, является моральной необходимостью и стратегическим императивом.
Для набора и подготовки следующего поколения специалистов по кибербезопасности для обеспечения безопасности нашей цифровой экосистемы потребуется федеральное руководство и устойчивое партнерство между государственным и частным секторами. Создание и поддержание сильных киберкадров невозможно, если карьера в области кибербезопасности не будет доступна любому способному американцу, который захочет ее сделать, и если каждая организация, в которой есть незаполненные вакансии, будет играть свою роль в подготовке следующего поколения специалистов по кибербезопасности».
СТОЛП ПЯТЫЙ | УКРЕПЛЕНИЕ МЕЖДУНАРОДНЫХ ПАРТНЕРСТВ ДЛЯ ДОСТИЖЕНИЯ ОБЩИХ ЦЕЛЕЙ
«Соединенные Штаты стремятся к миру, в котором ответственное поведение государств в киберпространстве ожидается и вознаграждается, а безответственное поведение приводит к изоляции и дорогостоящим последствиям. Для достижения этой цели мы будем продолжать взаимодействовать со странами, выступающими против нашей более широкой повестки дня, в решении общих проблем, одновременно создавая широкую коалицию стран, работающих над поддержанием открытого, свободного, глобального, совместимого, надежного и безопасного Интернета.
На протяжении десятилетий мы работали через международные институты над определением и продвижением ответственного поведения государств в киберпространстве. Мы использовали многосторонние процессы, такие как Группа правительственных экспертов Организации Объединенных Наций (ООН) и Рабочая группа открытого состава, для разработки рамок, включающих набор норм мирного времени и мер укрепления доверия, которые все государства-члены ООН подтвердили на Генеральной Ассамблее ООН. Мы поддержали расширение Будапештской конвенции о киберпреступности и другие глобальные усилия по повышению безопасности киберпространства. Мы будем продолжать эти усилия, признавая необходимость работы с партнерами, чтобы помешать темному видению будущего Интернета, которое продвигают КНР и другие автократические правительства. Мы будем делать это, демонстрируя экономикам и обществам ценность открытости и совместно налагая последствия на поведение, противоречащее согласованным нормам поведения государства.
Для противодействия общим угрозам, сохранения и укрепления глобальной свободы Интернета, защиты от транснациональных цифровых репрессий и создания общей цифровой экосистемы, более устойчивой и защищенной по своей природе, Соединенные Штаты будут работать над расширением новой модели сотрудничества национальных субъектов кибербезопасности с международным сообществом. Мы будем расширять коалиции, совместно противодействовать транснациональным преступникам и другим злоумышленникам, наращивать потенциал наших международных союзников и партнеров, усиливать применимость существующего международного права к поведению государств в киберпространстве, поддерживать общепринятые и добровольные нормы ответственного поведения государств в мирное время и наказывать тех, кто занимается подрывной, разрушительной или дестабилизирующей злонамеренной кибердеятельностью».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 5.1: СОЗДАНИЕ КОАЛИЦИЙ ДЛЯ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ НАШЕЙ ЦИФРОВОЙ ЭКОСИСТЕМЕ
«В апреле 2022 года США и 60 стран приняли Декларацию о будущем интернета (ДФИ), объединив широкую и разнообразную коалицию партнеров — крупнейшую в своем роде — вокруг общего демократического видения открытого, свободного, глобального, совместимого, надежного и безопасного цифрового будущего. Через DFI, коалицию Freedom Online и другие партнерства и механизмы Соединенные Штаты объединяют страны-единомышленники, международное бизнес-сообщество и другие заинтересованные стороны для продвижения нашего видения будущего Интернета, которое способствует безопасным и надежным потокам данных, уважает частную жизнь, поощряет права человека и позволяет достичь прогресса в решении более широких проблем.
С помощью таких механизмов, как Четырехсторонний диалог по безопасности («Четверка») между США, Индией, Японией и Австралией, США и их международные союзники и партнеры продвигают эти общие цели для киберпространства. Они включают улучшение обмена информацией между группами реагирования на чрезвычайные ситуации в компьютерной сфере и развитие цифровой экосистемы, основанной на общих ценностях. Индо-Тихоокеанская экономическая платформа для процветания (IPEF) и Американское партнерство для экономического процветания (APEP) создают возможности для сотрудничества США и региональных правительств в установлении правил дорожного движения для цифровой экономики, включая содействие разработке технических стандартов, механизмов для обеспечения трансграничных потоков данных, которые защищают конфиденциальность, избегая жестких требований по локализации данных, и действий по укреплению безопасности и устойчивости цепочки поставок. Через Совет по торговле и технологиям США-ЕС (СТС) мы координируем наши действия по всему Атлантическому океану для борьбы с общими угрозами и демонстрации того, как рыночные подходы к цифровой торговле, технологиям и инновациям могут улучшить жизнь наших граждан и стать силой для большего процветания. США также тесно сотрудничают с Австралией и Великобританией в рамках трехстороннего пакта безопасности и технологий («AUKUS») для обеспечения безопасности критически важных технологий, улучшения координации киберпространства и обмена передовыми возможностями.
В рамках этих и других партнерств США и международные партнеры могут продвигать общие интересы кибербезопасности путем обмена информацией о киберугрозах, обмена типовыми практиками кибербезопасности, сравнения отраслевого опыта, внедрения принципов безопасного проектирования, а также координации политики и деятельности по реагированию на инциденты. Более того, партнерства и коалиции с участием многих заинтересованных сторон, в которые также входят организации частного сектора и гражданского общества, такие как Крайстчерчский призыв к действиям по искоренению террористического и насильственного экстремистского контента в Интернете, Коалиция «Свобода в Интернете» и Глобальное партнерство по борьбе с гендерными домогательствами и злоупотреблениями в Интернете, имеют решающее значение для решения системных проблем. Мы будем использовать эти партнерства для обеспечения эффективного оперативного сотрудничества в целях защиты нашей общей цифровой экосистемы. Мы также будем поддерживать и помогать, по мере необходимости, создавать новые и инновационные партнерства, как в случае с международной инициативой по борьбе с вымогательством, которые объединяют уникальные группы заинтересованных сторон для решения новых и возникающих проблем кибербезопасности.
Поскольку большинство вредоносных кибердействий, направленных против США, осуществляется субъектами, базирующимися в зарубежных странах или использующими зарубежную вычислительную инфраструктуру, мы должны укреплять имеющиеся у нас механизмы сотрудничества с нашими союзниками и партнерами, чтобы ни один противник не смог обойти верховенство закона. Соединенные Штаты будут работать со своими союзниками и партнерами над созданием новых совместных правоохранительных механизмов для цифровой эпохи. Например, Европейский центр по борьбе с киберпреступностью сыграл жизненно важную роль в модернизации правовой базы, подготовке правоохранительных органов, улучшении атрибуции, сотрудничестве с партнерами из частного сектора и реагировании на злонамеренную кибердеятельность в Европе. Чтобы расширить эту модель, мы будем поддерживать усилия по созданию эффективных центров с партнерами в других регионах».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 5.2: УКРЕПЛЕНИЕ ПОТЕНЦИАЛА МЕЖДУНАРОДНЫХ ПАРТНЕРОВ
«Создавая коалицию для продвижения общих приоритетов кибербезопасности и продвижения общего видения цифровой экосистемы, Соединенные Штаты будут укреплять потенциал государств-единомышленников по всему миру для поддержки этих целей. Мы должны дать возможность нашим союзникам и партнерам обеспечить безопасность сетей критической инфраструктуры, создать эффективные возможности обнаружения и реагирования на инциденты, обмениваться информацией о киберугрозах, осуществлять дипломатическое сотрудничество, наращивать потенциал и эффективность правоохранительных органов посредством оперативного взаимодействия, а также поддерживать наши общие интересы в киберпространстве путем соблюдения международного права и укрепления норм ответственного поведения государств.
Для достижения этой цели Соединенные Штаты будут использовать опыт различных ведомств, государственного и частного секторов, а также передовых региональных партнеров для скоординированных и эффективных усилий по наращиванию международного киберпотенциала и оперативному сотрудничеству. В рамках правоохранительного сообщества Минюст продолжит формирование более надежной парадигмы сотрудничества в борьбе с киберпреступностью посредством двустороннего и многостороннего взаимодействия и соглашений, формального и неформального сотрудничества, а также обеспечения международного и регионального лидерства для укрепления законов, политики и операций в области киберпреступности. Министерство обороны продолжит укреплять отношения между военными, чтобы использовать уникальные навыки и перспективы союзников и партнеров, наращивая их потенциал для внесения вклада в нашу коллективную кибербезопасность. Государственный департамент продолжит координировать усилия всего правительства, чтобы обеспечить стратегическую согласованность федеральных приоритетов в области наращивания потенциала и соблюдение интересов США, союзников и партнеров».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 5.3: РАСШИРЕНИЕ ВОЗМОЖНОСТЕЙ США ПО ОКАЗАНИЮ ПОМОЩИ СОЮЗНИКАМ И ПАРТНЕРАМ
«Союзники и партнеры, ставшие жертвами значительной кибератаки, могут обратиться за поддержкой к США и странам-союзникам и партнерам для расследования, реагирования и восстановления после таких инцидентов. Предоставление такой поддержки не только поможет партнерам в восстановлении и реагировании, но и будет способствовать достижению целей внешней политики и кибербезопасности США. Тесное сотрудничество с пострадавшим союзником или партнером демонстрирует солидарность перед лицом действий противника и может ускорить усилия по разоблачению контрнормативного поведения государства и наложению последствий.
Администрация разработает политику для определения того, когда оказание такой поддержки отвечает национальным интересам, разработает механизмы для выявления и развертывания ресурсов департаментов и агентств в таких усилиях, и, при необходимости, быстро постарается устранить существующие финансовые и процедурные барьеры для оказания такой оперативной поддержки. В качестве примера, Соединенные Штаты возглавляют усилия Организации Североатлантического договора (НАТО) по созданию виртуального потенциала поддержки кибер-инцидентов, который позволяет союзникам более эффективно и действенно поддерживать друг друга в ответ на значительные злоумышленные кибер-действия».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 5.4: СОЗДАНИЕ КОАЛИЦИЙ ДЛЯ УКРЕПЛЕНИЯ ГЛОБАЛЬНЫХ НОРМ ОТВЕТСТВЕННОГО ПОВЕДЕНИЯ ГОСУДАРСТВ
«Каждый член Организации Объединенных Наций взял на себя политическое обязательство одобрить нормы ответственного поведения государств в киберпространстве в мирное время, которые включают воздержание от киберопераций, направленных на умышленное нанесение ущерба критически важной инфраструктуре вопреки своим обязательствам по международному праву.
Хотя наши противники знают, что такие обязательства не являются самообеспечивающими, растущее влияние этой системы заставляет государства призывать тех, кто действует вопреки ей. Все чаще сообщество стран сотрудничает в подготовке скоординированных заявлений о присвоении авторства, которые одновременно несут дипломатическое осуждение многих правительств и укрепляют коалицию, выступающую за стабильное киберпространство.
Соединенные Штаты, в качестве основной части своей обновленной, активной дипломатии, будут привлекать безответственные государства к ответственности, когда они не выполнят свои обязательства. Для эффективного сдерживания наших противников и противодействия вредоносной деятельности, не достигающей порога вооруженного конфликта, мы будем работать с нашими союзниками и партнерами, чтобы сочетать заявления об осуждении с наложением значимых последствий. Эти усилия потребуют совместного использования всех инструментов государственного управления, включая дипломатическую изоляцию, экономические издержки, контркибернетические и правоохранительные операции, юридические санкции и т.д.».
СТРАТЕГИЧЕСКАЯ ЦЕЛЬ 5.5: ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ГЛОБАЛЬНЫХ ЦЕПЕЙ ПОСТАВОК
ЦЕПОЧКИ ПОСТАВОК ПРОДУКЦИИ И УСЛУГ В ОБЛАСТИ ИНФОРМАЦИОННЫХ, КОММУНИКАЦИОННЫХ И ОПЕРАЦИОННЫХ ТЕХНОЛОГИЙ
«Сложные и глобально взаимосвязанные цепи поставок производят продукцию и услуги в области информационных, коммуникационных и операционных технологий, которые питают экономику США. От сырья и основных компонентов до готовой продукции и услуг — как виртуальных, так и физических — мы зависим от растущей сети иностранных поставщиков. Такая зависимость от критически важных иностранных продуктов и услуг от ненадежных поставщиков создает многочисленные источники системного риска для нашей цифровой экосистемы. Для снижения этого риска потребуется долгосрочное стратегическое сотрудничество между государственным и частным секторами в стране и за рубежом, чтобы перебалансировать глобальные цепи поставок и сделать их более прозрачными, безопасными, устойчивыми и надежными.
Критически важные входы, компоненты и системы должны все чаще разрабатываться внутри страны или в тесной координации с союзниками и партнерами, разделяющими наше видение открытого, свободного, глобального, взаимодействующего, надежного и безопасного Интернета. Основываясь на Национальной стратегии по обеспечению безопасности 5G, мы работаем с нашими партнерами над созданием безопасных, надежных и заслуживающих доверия цепочек поставок для 5G и беспроводных сетей следующего поколения, в том числе с помощью открытых сетей радиодоступа (Open RAN) и совместных инициатив по диверсификации поставщиков. Такие усилия включают в себя тестирование Министерством обороны внедрения Open RAN на нескольких базах, многомиллионные проекты интеллектуальных складов и логистики, а также работу Национального управления по телекоммуникациям и информации (NTIA) по стимулированию разработки и внедрения открытых, совместимых и основанных на стандартах сетей через Общественный фонд инноваций беспроводных цепей поставок. Распространение этой модели на другие критически важные технологии потребует долгосрочного, стратегического сотрудничества между государственным и частным секторами в стране и за рубежом, чтобы перебалансировать глобальные цепи поставок и сделать их более безопасными, устойчивыми и надежными. Двухпартийный закон об инфраструктуре предписывает «Строить Америку, покупать Америку» для проектов, финансируемых из федерального бюджета, в том числе для цифровой инфраструктуры. Посредством Указа № 14017 «Американские цепочки поставок», Закона о CHIPS и науке, а также Закона о снижении инфляции федеральное правительство ввело новые инструменты промышленной и инновационной стратегии, чтобы помочь восстановить производство критически важных товаров в США и их близких партнерах, одновременно обеспечивая безопасность наших цепочек поставок информационных технологий и передового производства.
Соединенные Штаты будут работать с нашими союзниками и партнерами, в том числе через региональные партнерства, такие как IPEF, рабочая группа Quad Critical and Emerging Technology Working Group и TTC, для выявления и внедрения передового опыта в управлении рисками трансграничных цепочек поставок и работы по изменению цепочек поставок, чтобы они шли через страны-партнеры и надежных поставщиков. В рамках этих усилий приоритетными будут возможности обеспечения более высокого уровня гарантий того, что цифровые технологии будут функционировать так, как ожидается, и привлечения стран к поддержке общего видения открытого, свободного, глобального, совместимого, надежного и безопасного Интернета. Государственный департамент еще больше ускорит эти усилия с помощью нового Международного фонда технологической безопасности и инноваций для поддержки создания безопасных и разнообразных цепочек поставок полупроводников и телекоммуникаций. Наконец, в рамках реализации Указа 13873 «Обеспечение безопасности цепочки поставок информационно-коммуникационных технологий и услуг», а также Указа 14034 «Защита чувствительных данных американцев от иностранных противников» мы будем работать над предотвращением неприемлемых и неоправданных рисков для нашей национальной безопасности со стороны информационно-коммуникационных технологий и услуг, находящихся под контролем или влиянием враждебных правительств».
РЕАЛИЗАЦИЯ
«Реализация стратегических целей, изложенных в данной стратегии, потребует серьезного внимания к осуществлению. Под надзором сотрудников СНБ и в координации с ОМБ, ONCD будет координировать реализацию этой стратегии. ONCD будет работать с межведомственными партнерами над разработкой и публикацией плана реализации, в котором будут определены федеральные направления усилий, необходимых для реализации данной стратегии».
ОЦЕНКА ЭФФЕКТИВНОСТИ
«При реализации этой стратегии федеральное правительство будет использовать подход, основанный на данных. Мы будем оценивать сделанные инвестиции, наш прогресс в реализации, а также конечные результаты и эффективность этих усилий. ONCD, в координации с сотрудниками СНБ, OMB, департаментами и агентствами, будет оценивать эффективность данной стратегии и ежегодно отчитываться перед президентом, помощником президента по вопросам национальной безопасности и Конгрессом об эффективности данной стратегии, соответствующей политики и последующих действий в достижении поставленных целей».
УЧЕТ НАКОПЛЕННОГО ОПЫТА
«Федеральное правительство будет уделять приоритетное внимание обобщению уроков, извлеченных из кибер-инцидентов, и применять эти уроки при реализации данной стратегии. CSRB завершил свой первый обзор уязвимости Log4j летом 2022 года, в ходе которого CSRB составил авторитетный отчет о том, что произошло, начиная с обнаружения уязвимости и заканчивая развитием крупнейшего в истории реагирования на кибер-инциденты. CSRB также предоставил промышленности, федеральным агентствам и сообществу разработчиков программного обеспечения четкие и действенные рекомендации, основанные на результатах обзора, чтобы сообщество могло быть лучше защищено в будущем.
Когда CSRB завершит свои обзоры, федеральное правительство будет выполнять его рекомендации, улучшая свои собственные операции с помощью исполнительных действий, где это возможно, и будет работать с Конгрессом для расширения полномочий, если это необходимо. Федеральные агентства также будут продвигать и усиливать рекомендации CSRB, направленные на защитников сетей в частном секторе. Помимо CSRB, необходимы более широкие национальные усилия по извлечению уроков из кибер-инцидентов. Регулирующим органам рекомендуется включить процессы анализа инцидентов в свои нормативные базы. CISA и правоохранительным органам также рекомендуется разработать процессы для регулярного извлечения уроков из своих расследований и мероприятий по реагированию на инциденты. Частным компаниям также рекомендуется проводить такие обзоры и делиться результатами своих усилий для информирования о реализации данной стратегии».
ОСУЩЕСТВЛЕНИЕ ИНВЕСТИЦИЙ
«Поддержание открытого, свободного, глобального, совместимого, надежного и безопасного Интернета и создание более защищенной и устойчивой цифровой экосистемы потребует инвестиций со стороны федерального правительства, союзников и партнеров, а также частного сектора. Многие федеральные действия, содержащиеся в данной стратегии, направлены на увеличение инвестиций частного сектора в безопасность, устойчивость, улучшение сотрудничества, исследования и разработки. Для того чтобы федеральные агентства могли поддержать своих партнеров из частного сектора и повысить их потенциал для выполнения важнейших федеральных задач, потребуются целевые инвестиции. Чтобы направлять эти инвестиции, ONCD и OMB будут совместно выпускать ежегодное руководство по приоритетам бюджета кибербезопасности для департаментов и агентств, чтобы способствовать реализации стратегического подхода администрации. ONCD будет работать с OMB для обеспечения согласованности бюджетных предложений департаментов и агентств для достижения целей, изложенных в этой стратегии. Администрация будет работать с Конгрессом над финансированием мероприятий по кибербезопасности, чтобы идти в ногу со скоростью изменений, присущих киберэкосистеме».
