2 marca 2023 r. administracja Biden-Harris opublikowała Krajową Strategię Cyberbezpieczeństwa. Główne cele i założenia zostały oparte na podstawowych wartościach: bezpieczeństwie gospodarczym, poszanowaniu praw człowieka i podstawowych wolności, zaufaniu do demokracji i instytucji demokratycznych oraz różnorodności i sprawiedliwości społecznej.
Aby zrealizować te założenia, zapowiedziano zmiany w sposobie rozdzielania ról, obowiązków i dostępnych zasobów, polegające na:
- Przywróceniu równowagi w zakresie odpowiedzialności za obronę cyberprzestrzeni poprzez przeniesienie ciężaru cyberbezpieczeństwa z osób fizycznych, małych przedsiębiorstw i samorządów na organizacje, które mają największe możliwości i najlepszą pozycję do zmniejszenia ryzyka dla wszystkich obywateli i podmiotów gospodarczych;
- Stworzenie warunków sprzyjających inwestycjom długoterminowym, zachowując równowagę między obroną przed aktualnymi zagrożeniami, a jednoczesnym strategicznym planowaniem i inwestowaniem w bezpieczną przyszłość.
WIZJA
W obliczu dynamicznie rozwijającego się świata, potrzebne są bardziej precyzyjne, lepiej skoordynowane i zwiększone zasoby do zapewnienia cyberbezpieczeństwa. Tym bardziej, iż technologie nowej generacji osiągają dojrzałość w coraz szybszym tempie, tworząc nowe możliwości dla innowacji i jednocześnie zwiększając współzależności cyfrowe.
Nowa strategia amerykańskiego rządu ma wyznaczyć kierunek, który pozwoli stawić czoła zagrożeniom i zabezpieczyć cyfrową przyszłość. Jej wdrożenie ma zabezpieczyć odbudowy krajowej infrastruktury, rozwój sektora czystej energii i rozwój bazy technologicznej i produkcyjnej. USA planuje sprawić, żeby ich cyfrowy ekosystem był lepiej przystosowany do obrony, bardziej odporny i lepiej odzwierciedlał wartości istotne dla kraju.
PODEJŚCIE
Krajowa strategia Cyberbezpieczeństwa ma na celu budowanie i wzmacnianie współpracy opartej na pięciu filarach:
1. Obrona infrastruktury krytycznej, w tym poprzez:
- Rozszerzenie i podniesienie minimalnych wymagań dotyczących cyberbezpieczeństwa w sektorach krytycznych w celu zapewnienia bezpieczeństwa krajowego i publicznego oraz harmonizację przepisów w celu zmniejszenia obciążeń związanych z przestrzeganiem przepisów;
- Usprawnienie współpracy publiczno-prywatnej w tempie i skali niezbędnej do obrony infrastruktury krytycznej i kluczowych usług; oraz
- aktualizacja polityki krajowej reagowania na incydenty.
2. Skuteczne wykorzystywanie wszystkich dostępnych instrumentów i narzędzi tak, aby cyberprzestępcy nie byli w stanie zagrozić bezpieczeństwu krajowemu, m.in. poprzez:
- Strategiczne wykorzystanie wszystkich dostępnych narzędzi i możliwości w celu przerwania działań przeciwników;
- Zaangażowanie sektora prywatnego;
- Przeciwdziałanie zagrożeniu związanemu z ransomware poprzez kompleksowe podejście na poziomie krajowym oraz we współpracy z naszymi partnerami międzynarodowymi.
3. Wykorzystanie wszystkich podmiotów prywatnych w celu zapewnienia bezpieczeństwa i odporności – przeniesienie odpowiedzialności na tych, którzy są najlepiej przygotowani do zmniejszenia ryzyka i chronienia tych najbardziej narażonych, aby uczynić cyfrowy ekosystem bardziej godnym zaufania, w tym poprzez:
- Promowanie prywatności i bezpieczeństwa danych osobowych;
- Przeniesienie odpowiedzialności za produkty i usługi w celu promowania bezpiecznych praktyk; oraz
- Zapewnienie promowania inwestycji finansów publicznych w nową, bezpieczną i odporną infrastrukturę.
4. Inwestycje w odporność, które mają zapewnić Stanom Zjednoczonym pozycję lidera w zakresie innowacji bezpiecznych i odpornych technologii i infrastruktury nowej generacji; m.in poprzez:
- Ograniczenie systemowych luk i podatności technicznych w całym ekosystemie cyfrowym przy jednoczesnym zwiększeniu jego odporności na transgraniczne ataki;
- Priorytetowe traktowanie badań i rozwoju w zakresie cyberbezpieczeństwa w odniesieniu do technologii nowej generacji, takich jak kryptografia postkwantowa, rozwiązania w zakresie tożsamości cyfrowej oraz infrastruktury związanej z czystą energią;
- Wykształcenie aktywnych i rzetelnych pracowników sektora cyberbezpieczeństwa.
5. kooperacja międzynarodowa w celu realizacji założeń. Stany Zjednoczone dążą do funkcjonowania w świecie, w którym państwa czują się odpowiedzialne za cyberbezpieczeństwo i jego ciągłe wzmacnianie, a za nieodpowiedzialne zachowanie wyciągane są konsekwencje; m.in. poprzez:
- Wykorzystanie międzynarodowych koalicji i partnerstw wśród podobnie myślących narodów w celu przeciwdziałania zagrożeniom dla cyfrowego ekosystemu poprzez wspólne przygotowania, reagowanie i nakładanie kar;
- Zwiększanie zdolności partnerów USA do obrony przed cyberzagrożeniami, zarówno w czasie pokoju, jak i w czasach kryzysu; oraz
- Współpracę z sojusznikami i partnerami w celu stworzenia bezpiecznych, niezawodnych i godnych zaufania globalnych łańcuchów dostaw produktów i usług z zakresu technologii informacyjnych i komunikacyjnych oraz technologii operacyjnych.
WDROŻENIE
Osiągnięcie celów strategicznych przedstawionych w niniejszej strategii będzie wymagało silnego skupienia się na realizacji założeń opartych na danych i wniosków wyciągniętych z zaistniałych incydentów.
Planowane są regularne oceny dokonanych inwestycji.
PODSUMOWANIE
- Wiele założeń zawartych w niniejszej strategii ma na celu zwiększenie inwestycji sektora prywatnego w bezpieczeństwo, odporność, lepszą współpracę i rozwój.
- Utrzymanie globalnego, interoperacyjnego, niezawodnego i bezpiecznego internetu oraz zapewnienie bardziej odpornego ekosystemu cyfrowego będzie wymagało wielopokoleniowych inwestycji ze strony administracji państwowej USA, ich sojuszników i partnerów oraz sektora prywatnego.
- Pełny tekst Krajowej Strategii Cyberbezpieczeństwa USA dostępny TUTAJ.