Reklama

Polityka i prawo

Narodowa Strategia Cyberbezpieczeństwa USA. Administracja Bidena ogłasza plan

Prezydent Joe Biden
Autor. Flickr/Gage Skidmore

Stany Zjednoczone doceniają wagę cyberprzestrzeni jako jednej z domen operacyjnych. Stąd konieczne jest stałe reagowanie na potencjalne nowe zagrożenia i dostosowywanie regulacji do bieżących wyzwań. Narodowa Strategia Cyberbezpieczeństwa USA ma zapewnić cyberbezpieczeństwo państwu i obywatelom. De facto rozszerza ona nałożone już wcześniej obowiązki na kluczowe podmioty.

Reklama

Przypomnijmy, że między innymi w lutym 2022 roku – tuż przed rosyjską inwazją na Ukrainę - USA szykowały się na wypadek masowych cyberataków ze strony Rosji. To także największy sojusznik Ukrainy, jeśli chodzi o zapewnienie cyberbezpieczeństwa tamtejszych sieci i systemów.

Reklama

Z kolei Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) podpisała Memorandum o współpracy z Agencją ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), działającej w ramach Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS).

Wojna w Ukrainie - sprawdzian z cyber

Tocząca się wojna w Ukrainie, która swoje oblicze ma także w cyberprzestrzeni, tym bardziej sprawiła, że administracja Bidena stawia na wzmocnienie tej domeny, co podkreślono w zapisach Narodowej Strategii Cyberbezpieczeństwa, rozszerzającej dotychczasowe obowiązki.

Reklama

Czytaj też

„W tej decydującej dekadzie Stany Zjednoczone przeobrażą cyberprzestrzeń jako narzędzie do osiągania naszych celów w sposób odzwierciedlający nasze wartości: bezpieczeństwo ekonomiczne i dobrobyt; poszanowanie praw człowieka i podstawowych wolności; zaufanie do naszej demokracji i instytucji demokratycznych; oraz sprawiedliwego i zróżnicowanego społeczeństwa. Aby zrealizować tę wizję, musimy dokonać fundamentalnych zmian w sposobie, w jaki Stany Zjednoczone przydzielają role, obowiązki i zasoby w cyberprzestrzeni” – napisano w oficjalnym oświadczeniu Białego Domu.

Jak stwierdzono, zadaniem do zrealizowania jest przeniesienie ciężaru cyberbezpieczeństwa z osób fizycznych, małych firm i samorządów na organizacje oraz sektory, które są już wyposażone w kompetencje i umiejętności z zakresu cyber. Celem ma być działanie długoterminowe, by nie tylko bronić się przed zagrożeniami, ale także planować i inwestować w cyberobronę w perspektywie długoterminowej.

„Nasz szybko rozwijający się świat wymaga bardziej celowego, lepiej skoordynowanego i wyposażonego podejścia do cyberobrony. Stoimy w obliczu złożonego środowiska zagrożeń, w którym podmioty państwowe i niepaństwowe opracowują i realizują nowatorskie kampanie zagrażające naszym interesom. Jednocześnie technologie nowej generacji osiągają dojrzałość w coraz szybszym tempie, tworząc nowe ścieżki dla innowacji, zwiększając cyfrowe współzależności” - stwierdzono w oficjalnym komunikacie.

Czytaj też

System cyberbezpieczeństwa ma być oparty o ekosystem, który ma cechować się założeniami:

  • cyberobrona jest łatwiejsza, tańsza i bardziej skuteczna;
  • ma być odporny – incydenty powinny mieć niewielki wpływ na zasięg i trwałość działania określonych usług/systemów;
  • ma być dostosowany do wartości, które kształtują i są wzmacniane przez cyfrowy świat.

Filary cyberbezpieczeństwa

Natomiast celem strategii jest budowanie i wzmacnianie współpracy opartej na pięciu filarach:

  • Ochrona infrastruktury krytycznej - tak, aby zapewnić Amerykanom dostęp oraz odporność infrastruktury krytycznej i podstawowych usług, co ma dziać się także za sprawą współpracy sektorów publicznego i prywatnego. Dodatkowo zmodernizowane będą sieci federalne i aktualizowane polityki reagowania na incydenty.
  • Zakłócenie działalności i zlikwidowanie podmiotów, które stanowią zagrożenie - przy użyciu wszystkich możliwych instrumentów krajowych, celem będzie uniemożliwienie złośliwym aktorom/grupom cyberprzestępczym zagrażanie bezpieczeństwu narodowemu i publicznemu USA. Wskazano też na kompleksowe zajęcie się problemem i skalą ransomware w porozumieniu z międzynarodowymi partnerami.
  • Kształtowanie sił rynkowych w celu zwiększania bezpieczeństwa i odporności - odpowiedzialność za ew. podatności będą ponosić ci, którzy są przygotowani do zmniejszenia ryzyka, a odsunięte zostaną konsekwencje wynikające ze słabego zabezpieczenia. To jest ciężar odpowiedzialności za luki, np. w oprogramowaniu zostanie przesunięty z użytkowników na producentów. Promowana będzie prywatność i bezpieczeństwo danych osobowych, a federalne programy grantów będą wspierać inwestycje w nową i odporną infrastrukturę.
  • Inwestowanie w stabilną przyszłość - poprzez inwestycje USA mają nadal wieść prym w sektorze „bezpiecznych i odpornych innowacji" poprzez m.in. zmniejszenie występowania podatności w funkcjonowaniu ekosystemu cyfrowego, a zwiększenie odporności wobec „ponadnarodowych represji cyfrowych". Priorytetowo mają być traktowane badania i rozwój w zakresie cyberbezpieczeństwa dla technologii nowej generacji (wśród nich wskazano m.in. szyfrowanie postkwantowe, rozwiązania z zakresu tożsamości cyfrowej i infrastruktury czystej energii).
  • Nawiązywanie międzynarodowych partnerstw w celu realizacji wspólnych celów - USA mają „dążyć do zbudowania świata, w którym oczekuje się i promuje odpowiedzialne zachowanie państw w cyberprzestrzeni", a "nieodpowiedzialne zachowania izoluje". W praktyce chodzi o wykorzystanie i tworzenie koalicji i partnerstw w celu przeciwdziałania zagrożeniom poprzez wspólną gotowość, reagowanie i ponoszenie kosztów inwestycji w cyberobronę. Celem jest także zwiększenie zdolności partnerów do obrony przed cyberzagrożeniami, zarówno w czasie pokoju, jak i kryzysu. Współpraca ma się odbywać również w celu stworzenia godnych, bezpiecznych i niezawodnych warunków dla globalnych łańcuchów dostaw technologii oraz produktów i usług.

To nie pierwszy tego typu oficjalny dokument, który dotyczy cyberprzestrzeni w USA. Między innymi do tej pory przyjęto rozporządzenie wykonawcze dot. poprawy cyberbezpieczeństwa kraju czy memorandum dot. bezpieczeństwa narodowego 5 w zakresie poprawy cyberbezpieczeństwa nad systemami kontroli infrastruktury krytycznej.

Podsumowując, dokument ma skłonić odpowiedzialne podmioty i kluczowe dla gospodarki sektory do szybszego i bardziej agresywnego działania w kontekście cyberobrony przed atakami złośliwych podmiotów, ale i do większej odpowiedzialności za cyberprzestrzeń - również w kontekście inwestycji finansowych.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Komentarze