دفعت إدارة بايدن يوم الخميس من أجل فرض لوائح ومسؤوليات إلزامية جديدة على صانعي البرمجيات ومقدمي الخدمات في محاولة لتحويل عبء الدفاع عن الفضاء الإلكتروني الأمريكي بعيدًا عن المنظمات الصغيرة والأفراد.
كتب مسؤولو الإدارة في وثيقة مرتقبة للغاية توثق استراتيجية وطنية للأمن السيبراني محدثة: “يجب أن تكون الجهات الفاعلة الأكثر قدرة والأكثر تمركزًا في الفضاء السيبراني رعاة أفضل للنظام البيئي الرقمي”. “اليوم ، يتحمل المستخدمون النهائيون عبئًا كبيرًا للتخفيف من مخاطر الإنترنت. الأفراد والشركات الصغيرة والحكومات المحلية والحكومات المحلية ومشغلو البنية التحتية لديهم موارد محدودة وأولويات متنافسة ، ومع ذلك يمكن أن يكون لخيارات هؤلاء الفاعلين تأثير كبير على أمننا السيبراني الوطني. “
زيادة اللوائح والالتزامات
أشارت الوثيقة المكونة من 39 صفحة إلى هجمات برامج الفدية الأخيرة التي عطلت المستشفيات والمدارس والخدمات الحكومية وعمليات خطوط الأنابيب وغيرها من البنية التحتية والخدمات الأساسية الهامة. واحدة من أكثر هذه الهجمات وضوحا وقعت في عام 2021 بهجوم فدية على خط أنابيب كولونيال ، الذي ينقل البنزين ووقود الطائرات إلى جزء كبير من جنوب شرق الولايات المتحدة. أدى الهجوم إلى إغلاق خط الأنابيب الواسع لعدة أيام ، مما أدى إلى نقص الوقود في بعض الولايات.
في أعقاب ذلك الهجوم ، فرضت الإدارة لوائح جديدة على خطوط أنابيب الطاقة. أشارت وثيقة استراتيجية يوم الخميس إلى أن أطر مماثلة من المرجح أن تأتي إلى صناعات إضافية.
“تتطلب بيئتنا الإستراتيجية أطرًا تنظيمية حديثة وذكية للأمن السيبراني مصممة خصيصًا لملف المخاطر لكل قطاع ، ومنسقة لتقليل الازدواجية ، ومكملة للتعاون بين القطاعين العام والخاص ، ومدركة لتكلفة التنفيذ” ، ذكرت الوثيقة. “يجب معايرة لوائح الأمن السيبراني الجديدة والمحدثة لتلبية احتياجات الأمن القومي والسلامة العامة ، بالإضافة إلى أمن وسلامة الأفراد والكيانات الخاضعة للتنظيم وموظفيها وعملائها وعملياتها وبياناتها.”
التركيز الرئيسي الآخر للاستراتيجية هو تفضيل الاستثمارات طويلة الأجل من خلال “تحقيق توازن دقيق بين الدفاع عن أنفسنا ضد التهديدات الملحة اليوم والتخطيط الاستراتيجي في نفس الوقت والاستثمار في مستقبل مرن.
إحدى المبادرات التي من المحتمل أن تكون من بين أكثر المبادرات إثارة للجدل بالنسبة لصناعة التكنولوجيا هي الضغط لتحميل الشركات المسؤولية عن نقاط الضعف في برامجها أو خدماتها. في ظل الأطر القانونية الحالية ، غالبًا ما تواجه هذه الشركات القليل من العواقب القانونية ، إن وجدت ، عندما يتم استغلال منتجاتها أو خدماتها ، حتى عندما تكون الثغرات ناتجة عن التكوينات الافتراضية غير الآمنة أو نقاط الضعف المعروفة.
وجاء في الوثيقة: “يجب أن نبدأ في تحويل المسؤولية إلى تلك الكيانات التي تفشل في اتخاذ الاحتياطات المعقولة لتأمين برامجها مع إدراك أنه حتى برامج أمان البرامج الأكثر تقدمًا لا يمكنها منع جميع الثغرات الأمنية”. “يجب أن تتمتع الشركات التي تصنع البرمجيات بحرية الابتكار ، ولكن يجب أيضًا أن تتحمل المسؤولية عندما تفشل في الوفاء بواجب الرعاية الذي تدين به للمستهلكين أو الشركات أو موفري البنية التحتية الحيوية.”
خمس اعمده
تسرد الوثيقة خمس “ركائز” لهذه الأهداف. هم انهم:
1. الدفاع عن البنية التحتية الحيوية. إلى جانب توسيع اللوائح المتعلقة بالقطاعات الحرجة ، تدعو الخطة إلى تمكين التعاون بين القطاعين العام والخاص في الدفاع عن البنية التحتية الحيوية والسلامة العامة ، والدفاع عن الشبكات الفيدرالية وتحديثها والاستجابات الفيدرالية للحوادث.
2. تعطيل وتفكيك الجهات المهددة للحد من تهديدهم للأمن القومي والسلامة العامة. تشمل وسائل تحقيق ذلك استخدام “جميع أدوات القوة الوطنية” لإحباط الجهات الفاعلة في التهديد ، وإشراك القطاع الخاص في فعل الشيء نفسه ، والتصدي لتهديد برامج الفدية من خلال نهج فيدرالي شامل يتم تنسيقه مع الشركاء الدوليين.
3. تشكيل قوى السوق لتعزيز الأمن والمرونة. ويشمل ذلك إعطاء المسؤولية لمن هم في النظام البيئي الرقمي في أفضل وضع لتقليل المخاطر. تؤكد هذه الركيزة على تعزيز خصوصية وأمن البيانات الخاصة ، وتحويل المسؤولية على البرامج والخدمات ، وضمان أن برامج المنح الفيدرالية تعزز الاستثمارات في بنية تحتية جديدة وأكثر أمانًا.
4. الاستثمار في مستقبل مرن من خلال “الاستثمارات الاستراتيجية والعمل التعاوني المنسق”. وسيشمل ذلك الحد من نقاط الضعف عبر النظام البيئي الرقمي ، وجعله أكثر مرونة ضد القمع العابر للحدود ، وإعطاء الأولوية للبحث والتطوير في مجال الأمن السيبراني ، وخلق قوة عاملة وطنية أكثر قوة في مجال الأمن السيبراني.
5. إقامة شراكات دولية لتحقيق أهداف مشتركة. تتمثل بعض الوسائل لتحقيق هذا الهدف في تنفيذ أو الاستفادة من التحالفات والشراكات الدولية لمواجهة التهديدات ، وزيادة القدرات الدفاعية للأمن السيبراني للشركاء ، والعمل مع الحلفاء.
كانت آخر مرة وضع فيها رئيس مخططًا وطنيًا للأمن السيبراني في عام 2018 في عهد الرئيس دونالد ترامب. في السنوات الخمس التي تلت ذلك ، شهدت الولايات المتحدة موجة من الهجمات الإلكترونية المدمرة. إلى جانب خط أنابيب كولونيال ، تشمل هذه الهجمات هجوم سلسلة إمداد الرياح الشمسية الذي ظهر في ديسمبر 2020. من خلال اختراق نظام توزيع برامج SolarWinds ، دفعت الجهات الفاعلة في التهديد التي تعمل نيابة عن الكرملين البرامج الضارة إلى ما يقرب من 18000 عميل استخدموا منتج إدارة الشبكة. ثم أرسل المتسللون حمولات متابعة إلى حوالي 10 وكالات فيدرالية أمريكية وحوالي 100 منظمة خاصة.
أصبحت هجمات برامج الفدية الآن أكثر شيوعًا مما كانت عليه قبل خمس سنوات. كتب مسؤولو الإدارة في الاستراتيجية:
نظرًا لتأثير برامج الفدية الضارة على خدمات البنية التحتية الحيوية الرئيسية ، ستوظف الولايات المتحدة جميع عناصر القوة الوطنية لمواجهة التهديد على أساس أربعة محاور من الجهد: (1) الاستفادة من التعاون الدولي لتعطيل النظام البيئي لبرامج الفدية وعزل تلك البلدان التي توفر ملاذات آمنة للمجرمين ؛ (2) التحقيق في جرائم برامج الفدية واستخدام سلطات إنفاذ القانون والسلطات الأخرى لتعطيل البنية التحتية لبرامج الفدية والجهات الفاعلة ؛ (3) تعزيز مرونة البنية التحتية الحيوية لمقاومة هجمات برامج الفدية ؛ و (4) معالجة إساءة استخدام العملة الافتراضية لغسل مدفوعات الفدية.
كما أعاد المستند تصنيف برامج الفدية على أنه تهديد للأمن القومي ، بينما كان يُنظر إليه سابقًا على أنه تهديد إجرامي.
سيتم تنسيق الخطة من قبل مجلس الأمن القومي ، ومكتب الإدارة والميزانية بالبيت الأبيض ، ومكتب المدير السيبراني الوطني. تقدم هذه الهيئات تقارير سنوية إلى الرئيس والكونغرس الأمريكي لتحديث تنفيذ الخطة وفعاليتها. ستقدم هذه الهيئات أيضًا إرشادات كل عام للوكالات الفيدرالية. قدم البيت الأبيض ورقة الحقائق هذه التي تلخص الخطة.