Polityka i prawo
Kontynuacja a nie rewolucja. Rozporządzenie wykonawcze Trumpa [ANALIZA]
Rozporządzenie wykonawcze Donalda Trumpa zatytułowane „Wzmacniając cyberbezpieczeństwo sieci federalnych i infrastruktury krytycznej” podpisane miesiące temu pozostaje do dziś najważniejszym dokumentem nowej amerykańskiej administracji w obszarze cyberbezpieczeństwa. Pomimo szumnych zapowiedzi o zwiększeniu roli rządu federalnego, a w szczególności wojska, rozporządzenie kontynuuje jednak koncepcje rozpoczęte przez Baracka Obamę.
Na początku maja Donald Trump podpisał rozporządzanie wykonawcze zatytułowane „Wzmacniając cyberbezpieczeństwo sieci federalnych i infrastruktury krytycznej”, tym samym nie dotrzymał on obietnicy dostarczenia takiego dokumentu w przeciągu pierwszych stu dni urzędowania. Pojawił się wprawdzie przeciek do prasy z draftem podobnego rozporządzenia, okazało się jednak, że Trump go wtedy nie podpisał. Trzeba było czekać aż do maja na następny dokument.
Rozporządzania wykonawcze podpisywane są przez prezydentów Stanów Zjednoczonych i wymagają podjęcia natychmiastowego działania ze strony instytucji federalnych. W przeciwieństwie do zwykłych ustaw nie wymagają zgody Kongresu, ten jednak może unieważnić lub zastąpić rozporządzanie zwykła ustawą.
Rozporządzanie Trumpa dzieli się na trzy główne części: cyberbezpieczeństwo sieci federalnych, cyberbezpieczeństwo infrastruktury krytycznej oraz cyberbezpieczeństwo szeroko rozumianego państwa.
W ramach cyberbezpieczeństwa sieci federalnych skupiono się na mechanizmie zarządzania ryzykiem oraz modernizacji infrastruktury informatycznej. Po pierwsze nakazuje on szefom agencji federalnych zastosowanie standardów rozwiniętych przez Narodowy Instytut Standardów i Technologii (National Institute of Standards and Technology’s - NIST). Zostały one utworzone na mocy rozporządzania wykonawczego z 2013 roku podpisanego przez Baracka Obamę, we współpracy z sektorem prywatnym w celu wypracowania najwyższych standardów i najlepszych praktyk zarządzania ryzykiem cyberbezpieczeństwa.
Czytaj więcej: Rosyjski atak na "niepokornego" Trumpa? Cybernetyczne tajemnice CIA ujawnione [ANALIZA]
Drugim głównym postanowieniem jest stworzenie raportów przez szefów instytucji federalnych w przeciągu 90 dni od wprowadzenia rozporządzenia. Dokumenty te mają zawierać opis sposóbu minimalizacji ryzyka oraz strategicznych decyzji dotyczących cyberbezpieczeństwa. Najważniejszym elementem będzie jednak przedstawienie planu wdrożenia standardów przygotowanych przez NIST. Raporty zostaną poddane ocenie przeprowadzonej przez Departament Bezpieczeństwa Wewnętrznego (Department of Homeland Security - DHS) i Biuro Zarządzania i Budżetu (Office of Management and Budget - OBM). Ich treść może zostać utajniona. Następnie na ich podstawie obie instytucje stworzą wspólną ocenę dla prezydenta wskazując na niedociągnięcia oraz ograniczenia budżetowe. Wyjątek stanowią tutaj tzw. agencje wchodzące w skład tzw. Narodowych Systemów Bezpieczeństwa, które muszą stworzyć raport w przeciągu 150 dni i przedstawiać je Sekretarzowi Obrony i Dyrektorowi Wywiadu Krajowego.
Ostatnim punktem pierwszej sekcji jest budowanie nowoczesnej, bezpiecznej i odpornej na ataki architektury IT. Rozporządzanie zachęca agencje to zamawiania współdzielonych usług IT oraz zleca Dyrektorowi Rady Amerykańskich Technologii (Director of the American Technology Council ) koordynowanie opracowania wspólnego raportów przez DHS, OBM i General Services Administration (GSA) odnośnie możliwości konsolidowania architektury i usług IT używanych przez wiele instytucji.
W ramach drugiej sekcji zatytułowanej cyberbezpieczeństwo infrastruktury krytycznej, rozporządzenie po raz kolejny bazuje na wcześniejszym dokumencie z 2013 roku podpisanym przez prezydenta Obamę. Rozporządzenie wykonawcze Trumpa nakazuje szefom agencji federalnych identyfikowanie narzędzi oraz mechanizmów przez które mogą oni lepiej wspierać cyberbezpieczeństwo infrastruktury krytycznej. W szczególności należy się tutaj skupić na zapisach sekcji 9 z rozporządzenia Baracka Obamy z 2013, które mówi o atakach mogących doprowadzić do katastrofy w regionie lub w skali kraju i mieć wpływ na zdrowie publiczne, gospodarkę i przede wszystkim bezpieczeństwo narodowe.
Drugim istotnym punktem jest zachęcanie instytucji federalnych do sporządzania raportów na temat prowadzenia federalnej polityki promowania transparentności zarządzania ryzykiem cyberbezpieczeństwa. Dodatkowo Departament Energii i Bezpieczeństwa Wewnętrznego we współpracy z Dyrektorem Wywiadu powinny przygotować ocenę potencjalnego obszaru i czasu przerw w dostawie energii, które mogą być skutkiem cyberataków, gotowość Stanów Zjednoczonych do radzenia sobie z tymi problemami oraz zidentyfikować braki i luki w zabezpieczeniach. Rozporządzenie zapowiada również podjęcie zdecydowanej walki z botnetami.
Trzecia ostatnia sekcja dotyczy ogólnego poziomu cyberbezpieczeństwa Stanów Zjednoczonych, amerykańskich użytkowników internetu oraz zwiększenia liczby osób z wykształceniem w zakresie cyberbezpieczeństwa. Sekcja trzecia wymaga od szefów ośmiu departamentów stworzenia wspólnego raportu w przeciągu 90 dni, który zaprezentuje strategiczne opcje odstraszania potencjalnych przeciwników i zwiększenia ochrony amerykańskiej ludności od zagrożeń w środowisku wirtualnym. Ponadto sekretarze Stanu, Skarbu, Obrony, Handlu i Bezpieczeństwa Wewnętrznego mają przedstawić raporty prezydentowi identyfikujące priorytet cyberbezpieczeństwa na arenie międzynarodowej. Dodatkowo sekretarz stanu ma przedstawić oddzielny dokument dotyczący strategii współpracy międzynarodowej w obszarze cyberbezpieczeństwa.
Ponadto rozporządzenie to porusza problem niewystarczającej liczby osób wykształconych w obszarze cyberbezpieczeństwa. W dokumencie zleca się przygotowanie odpowiednim agencjom federalnym wspólnej oceny zakresu i skuteczności wykonywanych działań ukierunkowanych na zwiększenie liczby Amerykanów posiadających wiedzę w zakresie cyberbezpieczeństwa. Dyrektor wywiadu narodowego ma również sporządzić raport na temat praktyk w innych krajach używanych do zwiększenia liczby ekspertów w tej branży i ocenić ich wpływ na rozwój Stanów Zjednoczonych.
Czytaj więcej: Bezpieczeństwo wyborów: Nie trzeba ręcznie liczyć głosów
Podsumowując, rozporządzenie różni się w swoim kształcie od pierwszego projektu. Autorzy odeszli od pomysłu stworzenia opisu zdolności i podatności głównych wrogów Stanów Zjednoczonych w cyberprzestrzeni. Zrezygnowano również z zapisów wskazujących na zwiększenie cyberbezpieczeństwa sektora prywatnego przez większą ingerencję rządu, w tym pomysłu, żeby wojsko chroniło infrastrukturę krytyczną i miało dostęp do danych prywatnych. Pojawiły się jednak nieobecne w pierwszej wersji tematy związane z aspektem międzynarodowym.
Rozporządzenie jest w dużej mierze kontynuacją polityki cyberbezpieczeństwa Baracka Obamy i jest to dobra wiadomość. Poprzednik Donalda Trumpa na stanowisku prezydenta wniósł największy wkład w budowę systemu cyberbezpieczeństwa Stanów Zjednoczonych i wiele jego pomysłów i inicjatyw było udanych. Sam dokument nie wnosi nic innowacyjnego i skupia się głównie na ochronie sieci federalnych i infrastruktury krytycznej, czyli dwóch najważniejszych z perspektywy rządu obszarów. Dokładnie rzecz biorąc w dużej mierze opisuje jaka instytucja powinna sporządzić jaki raport i w jakim czasie. Jest to słuszna koncepcja, ponieważ zebranie informacji i przeanalizowanie słabości i braków pozwoli na rozwinięcie efektywnej i skutecznej polityki cyberbezpieczeństwa. Należy podkreślić, że w podobny sposób zaczynał Barack Obama, który nakazał sporządzenie raportu przedstawiającego braki i główne wyzwania dla amerykańskiego cyberbezpieczeństwa. Następnie w oparciu o ten raport realizowana była spójna polityka cyberbezpieczeństwa. Należy mieć nadzieje, że podobnie postąpi Donald Trump. Rezultaty rozporządzenia będzie można ocenić dopiero, kiedy zostanie przygotowana spójna polityka w oparciu o przedstawione raporty. Na razie nie wiadomo nic o planowanej publikacji strategii lub innego dokumentu wyznaczającego główne kierunki strategiczne.
Czytaj więcej: Pierwszy dekret Trumpa dotyczący cyberbezpieczeństwa. "60-dniowy przegląd systemów"
Haertle: Każdego da się zhakować
Materiał sponsorowany