USA – Krajowa Strategia Cyberbezpieczeństwa

2 marca 2023 r. administracja Biden-Harris opublikowała Krajową Strategię Cyberbezpieczeństwa. Główne cele i założenia zostały oparte na podstawowych wartościach: bezpieczeństwie gospodarczym, poszanowaniu praw człowieka i podstawowych wolności, zaufaniu do demokracji i instytucji demokratycznych oraz różnorodności i sprawiedliwości społecznej. 

Aby zrealizować te założenia, zapowiedziano zmiany w sposobie rozdzielania ról, obowiązków i dostępnych zasobów, polegające na:

  1. Przywróceniu równowagi w zakresie odpowiedzialności za obronę cyberprzestrzeni poprzez przeniesienie ciężaru cyberbezpieczeństwa z osób fizycznych, małych przedsiębiorstw i samorządów na organizacje, które mają największe możliwości i najlepszą pozycję do zmniejszenia ryzyka dla wszystkich obywateli i podmiotów gospodarczych;
  2. Stworzenie warunków sprzyjających inwestycjom długoterminowym, zachowując równowagę między obroną przed aktualnymi zagrożeniami, a jednoczesnym strategicznym planowaniem i inwestowaniem w bezpieczną przyszłość.

WIZJA

W obliczu dynamicznie rozwijającego się świata, potrzebne są bardziej precyzyjne, lepiej skoordynowane i zwiększone zasoby do zapewnienia cyberbezpieczeństwa.  Tym bardziej, że technologie nowej generacji osiągają dojrzałość w coraz szybszym tempie, tworząc nowe możliwości dla innowacji i jednocześnie zwiększając współzależności cyfrowe.

Nowa strategia amerykańskiego rządu ma wyznaczyć kierunek, który pozwoli stawić czoła zagrożeniom i zabezpieczyć cyfrową przyszłość. Jej wdrożenie ma zabezpieczyć odbudowy krajowej infrastruktury, rozwój sektora czystej energii i rozwój bazy technologicznej i produkcyjnej. USA planuje sprawić, żeby ich cyfrowy ekosystem był lepiej przystosowany do obrony, bardziej odporny i lepiej odzwierciedlał wartości istotne dla kraju.

PODEJŚCIE

Krajowa strategia Cyberbezpieczeństwa ma na celu budowanie i wzmacnianie współpracy opartej na  pięciu filarach:

1. Obrona infrastruktury krytycznej, w tym poprzez:

  • Rozszerzenie i podniesienie minimalnych wymogów dotyczących cyberbezpieczeństwa w sektorach krytycznych w celu zapewnienia bezpieczeństwa krajowego i publicznego oraz harmonizację przepisów w celu zmniejszenia obciążeń związanych z przestrzeganiem przepisów;
  • Usprawnienie współpracy publiczno-prywatnej w tempie i skali niezbędnej do obrony infrastruktury krytycznej i kluczowych usług; oraz
  • aktualizacja polityki krajowej reagowania na incydenty.

2. Skuteczne wykorzystywanie wszystkich dostępnych instrumentów i narzędzi tak, aby cyberprzestępcy nie byli w stanie zagrozić bezpieczeństwu krajowemu, m.in. poprzez:

  • Strategiczne wykorzystanie wszystkich dostępnych narzędzi i możliwości w celu przerwania działań przeciwników;
  • Zaangażowanie sektora prywatnego;
  • Przeciwdziałanie zagrożeniu związanemu z ransomware poprzez kompleksowe podejście na poziomie krajowym oraz we współpracy z naszymi partnerami międzynarodowymi.

3. Wykorzystanie wszystkich podmiotów prywatnych w celu zapewnienia bezpieczeństwa i odporności – przeniesienie odpowiedzialności na tych, którzy są najlepiej przygotowani do zmniejszenia ryzyka i chronienia tych najbardziej narażonych, aby uczynić cyfrowy ekosystem bardziej godnym zaufania, w tym poprzez:

  • Promowanie prywatności i bezpieczeństwa danych osobowych;
  • Przeniesienie odpowiedzialności za produkty i usługi w celu promowania bezpiecznych praktyk; oraz
  • Zapewnienie promowania inwestycji finansów publicznych w nową, bezpieczną i odporną infrastrukturę.

4. Inwestycje w odporność, które mają zapewnić Stanom Zjednoczonym pozycję lidera w zakresie innowacji bezpiecznych i odpornych technologii i infrastruktury nowej generacji; m.in poprzez:

  • Ograniczenie systemowych luk i podatności technicznych w całym ekosystemie cyfrowym przy jednoczesnym zwiększeniu jego odporności na transgraniczne ataki;
  • Priorytetowe traktowanie badań i rozwoju w zakresie cyberbezpieczeństwa w odniesieniu do technologii nowej generacji, takich jak kryptografia postkwantowa, rozwiązania w zakresie tożsamości cyfrowej oraz infrastruktury związanej z czystą energią;
  • Wykształcenie aktywnych i rzetelnych pracowników sektora cyberbezpieczeństwa.

5. Współpraca międzynarodowa w celu realizacji założeń. Stany Zjednoczone dążą do funkcjonowania w świecie, w którym państwa czują się odpowiedzialne za cyberbezpieczeństwo i jego ciągłe wzmacnianie, a za nieodpowiedzialne zachowanie wyciągane są konsekwencje; m.in. poprzez:

  • Wykorzystanie międzynarodowych koalicji i partnerstw wśród podobnie myślących narodów w celu przeciwdziałania zagrożeniom dla cyfrowego ekosystemu poprzez wspólne przygotowania, reagowanie i nakładanie kar;
  • Zwiększanie zdolności partnerów USA do obrony przed cyberzagrożeniami, zarówno w czasie pokoju, jak i w czasach kryzysu; oraz
  • Współpracę z sojusznikami i partnerami w celu stworzenia bezpiecznych, niezawodnych i godnych zaufania globalnych łańcuchów dostaw produktów i usług z zakresu technologii informacyjnych i komunikacyjnych oraz technologii operacyjnych.

WDROŻENIE

Osiągnięcie celów strategicznych przedstawionych w niniejszej strategii będzie wymagało silnego skupienia się na realizacji założeń opartych na danych i wniosków wyciągniętych z zaistniałych incydentów.

Planowane są regularne oceny dokonanych inwestycji.   

PODSUMOWANIE

  • Wiele założeń zawartych w niniejszej strategii ma na celu zwiększenie inwestycji sektora prywatnego w bezpieczeństwo, odporność, lepszą współpracę i rozwój.
  • Utrzymanie globalnego, interoperacyjnego, niezawodnego i bezpiecznego internetu oraz zapewnienie bardziej odpornego ekosystemu cyfrowego będzie wymagało wielopokoleniowych inwestycji ze strony administracji państwowej USA, ich sojuszników i partnerów oraz sektora prywatnego.
  • Pełny tekst Krajowej Strategii Cyberbezpieczeństwa USA dostępny TUTAJ.