USA: dostawcy oprogramowania będą informować rząd o incydentach bezpieczeństwa?

Rzeczniczka prasowa Rady Bezpieczeństwa Narodowego powiedziała, że nie podjęto jeszcze żadnej decyzji odnośnie ostatecznej zawartości rozporządzenia wykonawczego.

Zhakowanie SolarWinds, które miało miejsce w grudniu pokazuje, że rząd federalny musi posiadać odpowiednie zdolności do badania zagrożeń oraz ich neutralizacji w szybki sposób, tak aby zapewnić Amerykanom bezpieczeństwo. Rzecznika dodała, że nie można po prostu naprawić czegoś, o czym nie wiemy.

Rozporządzenie wykonawcze ma również zawierać zapisy, że dostawcy internetu będą musieli zachować większą liczbę danych pozwalających na badanie incydentów oraz bliżej współpracować z FBI i Departamentem Bezpieczeństwa Narodowego.

W praktyce zmiany mają zostać wprowadzone poprzez nowelizację przepisów federalnych dotyczących zamówień. Główni sprzedawcy oprogramowania dla rządu, tacy jak Microsoft czy SalesForce, zostaną przede wszystkim dotknięci przez nowe regulacje.

O potrzebie zmian w podejściu do sektora prywatnego mówił również Dyrektor Narodowej Agencji Bezpieczeństwa (NSA) generał Paul Nakasone w trakcie zeznań przed komisją Kongresu USA. Powiedział on, że ostatnie ataki na SolarWinds i Microsoft pokazują wzrastający poziom zaawansowania operacji prowadzonych przez przeciwników USA. Dyrektor przyznał, że wcześniej nie zaobserwowano ataków o takim zasięgu i poziomie zaawansowania. Podczas przesłuchania zasugerował wprowadzenie różnego rodzaju bodźców zachęcających dla sektora prywatnego, takich jak np. zmuszenie operatorów infrastruktury internetowej do lepszego zrozumienia kim są ich klienci poprzez odpowiednią legislację.

Ostatnio Anna Neuberger, zastępczyni doradcy ds. bezpieczeństwa narodowego w obszarze cyber i nowoczesnych technologii  powiedziała, że zarówno działania władz jak również kultura związana z wyciekami w rządzie federalnym musi się zmienić. W związku z tym administracja Joe Bidena rozważa wprowadzenie rankingu cyberbezpieczeństwa dla amerykańskiego oprogramowania. Cały system miałbym przypominać sposób oceny restauracji w Nowym Jorku.

To nie jedyne przykłady działań w obszarze cyberbezpieczeństwa nowego prezydenta. Wcześniej administracja zaprosiła po raz pierwszy w historii przedstawicieli sektora prywatnego do udziału w rozmowach grupy utworzonej w ramach Narodowej Rady Bezpieczeństwa. Ma to być sygnał rosnącej współpracy sektora publicznego i prywatnego, który ma odgrywać bardzo ważną rolę w strategii cyberbezpieczeństwa Bidena. Słusznie wychodzi się z założenia, że nikt nie posiada lepszego wglądu w sytuacje w sieciach i systemach niż sektor prywatny. Dlatego wymiana informacji musi być kluczowa. Na to zwrócił uwagę również dyrektor NSA podczas przesłuchania