פעולות ביצועיות וארגון מחדש של סוכנויות אחרונות מסמנים שינוי משמעותי באסטרטגיית אבטחת הסייבר הפדרלית, ומעלים שאלות לגבי חוסן לאומי ומוכנות המגזר הפרטי.
לא לעתים קרובות רואים ממשלה מפרקת במכוון התקדמות סבירה שנעשתה על ידי קודמתה, אבל הרשות המבצעת של טראמפ מלאה בהפתעות. נראה שהיא לא רק עצרה פעילויות בכמה תחומי אבטחת סייבר בדיוק בזמן שבו היא צריכה ללחוץ על דוושת הגז; במקרים מסוימים, היא נעה מהר ככל האפשר בכיוון ההפוך.
בשום מקום זה לא ברור יותר מאשר בחדשות האחרונות לדווח מוועדת הסולאריום הסייבר (CSC) – או ליתר דיוק CSC 2.0. הוועדה הוקמה במקור כחלק מחוק הסמכת ההגנה משנת 2019, כדי לפתח גישה אסטרטגית להגנה מפני מתקפות סייבר משמעותיות על ארה"ב. לאחר שבוטלה בשנת 2021, היא קמה לתחייה כארגון ללא מטרות רווח במרכז לחדשנות סייבר וטכנולוגית (CCTI) בקרן להגנת הדמוקרטיות (FDD).
הדו"ח השנתי החמישי של ועדת הסייבר האמריקאית (CSC) מראה כי ארה"ב נסוגה באופן מהותי בעמדתה בתחום הסייבר. הדו"ח של השנה שעברה הראה כי היא יישמה 48% מהמלצות הסייבר של ה-CSC. השנה, היישום ירד מ-48% ל-35%. כמעט רבע מההמלצות שיושמו במלואן משנת 2024 איבדו מעמד זה בעקבות שינויים גורפים שביצע הממשל הנוכחי.
אחד מחמשת התחומים שהדו"ח ממליץ למדינה לטפל בהם כדי לחזור למסלול הנכון הוא משבר כוח העבודה ב-CISA. ממשל טראמפ קיצץ את כוח העבודה של CISA בשליש מוקדם יותר השנה, מ-3,300 ל-2,200 איש.
לזוז מהר ולשבור דברים בכוונה
ממשל טראמפ עבר כל כך מהר עם השינויים שלו שקשה לעמוד בקצב, אבל הנה כמה שינויים עיקריים. עם השבעתו לתפקיד, צוותו של הנשיא ביטל את כל החברות בוועדות המייעצות של ה-DHS, מה שבפועל חיסל את מועצת סקירת הבטיחות הקיברנטית שחקרה את מתקפות טייפון סולט.
לאחר מכן, טראמפ מפוטר ראש פיקוד הסייבר של ארה"ב, טימותי ד. היו, באפריל בעקבות לחץ מצד פעילת הימין הקיצוני לורה לומר.
שינויים גדולים אף יותר התרחשו ביוני עם הצו הנשיאותי של טראמפ "קיים מאמצים נבחרים לחיזוק אבטחת הסייבר של האומה ותיקון צו נשיאותי 13694 וצו נשיאותי 14144", שביטל רבים מצעדי אבטחת הסייבר מתקופת ביידן.
ארגון פוטנציאלי זה קיצץ במדיניות האבטחה של בינה מלאכותית, ביטל את דרישות אימות אבטחת התוכנה עבור ספקי תוכנה פדרליים (כולל רשימת חומרים של תוכנה, או SBOM), ועיכב את הדחיפה לאימוץ זהות דיגיטלית עבור הטבות פדרליות. הוא נימק את האחרון בטענה שהוא "מסכן ניצול לרעה נרחב בכך שהוא מאפשר למהגרים בלתי חוקיים גישה בלתי הולמת לזכויות ציבוריות".
גם דיפלומטיית הסייבר (עמוד תווך אסטרטגי מרכזי תחת ממשל ביידן) ספגה מכה. ביולי, משרד החוץ חיסל למעשה את לשכת הדיפלומטיה הסייבר (CDP) בת שלוש השנים, פיטר עובדים מרכזיים, כולל חמישה מתוך שמונת האנשים שעבדו על עניינים דו-צדדיים ואזוריים, והקצה מחדש את ראשה הפעיל. המשרד יפרק את ה-CDP ויעביר חלקים ממנו לאגפים שונים של הסוכנות. הדיווחים האמוריםהממשלה החדשה גם השהתה חוק אבטחת IoT של ה-FCC מינואר 2025.
טראמפ קיצץ במיוחד באופן חמור את המימון הראשוני ליוזמות ניהול הבחירות והמאבק בדיסאינפורמציה. הוא קיצץ את המימון למרכז ניתוח שיתוף מידע על תשתיות הבחירות (EI-ISAC), וצו נשיאותי בשם "שיקום חופש הביטוי וסיום הצנזורה הפדרלית" קיצץ את המימון למחקר על השפעה זדונית זרה.
הממשל גם סגר את כוח המשימה להשפעה זרה של ה-FBI ואת מרכז המעורבות הגלובלית, שהתמקדו במאבק בקמפיינים נגד מידע אמריקאי. כעת הוא אינו מאפשר למדינות להשתמש בכספים כדי לרכוש שירותים ממרכז שיתוף וניתוח המידע הרב-מדינתי, וקיצץ את המימון ליוזמה זו בהנחה שהיא מצנזרת את חופש הביטוי.
התובעת הכללית פאם בונדי גם הורידה את סדרי העדיפויות של אכיפת חוק רישום סוכנים זרים (FARA) ופירקה את כוח המשימה להשפעה זרה של משרד המשפטים ואת יחידת האכיפה התאגידית של חטיבת הביטחון הלאומי. זה סולל את הדרך לפעולות פריצה והדלפה זרים וחוות טרולים. ומשרד המשפטים פרויקט KleptoCapture נטוש, יוזמה מתקופת ביידן לתפוס נכסים של אוליגרכים רוסים שעשויים לשמש למימון קמפיינים להשפעה זרה.
צעדים אלה הפחיתו את יכולתה של הממשלה לסייע לארגונים מהמגזר הפרטי בזמן שהם הכי זקוקים לכך. באפריל נראתה צ'קפוינט תוכנה שיא עלייה של 47% במתקפות סייבר ברבעון הראשון של 2025, עם ממוצע של 1,925 מתקפות שבועיות לארגון, יחד עם עלייה של 126% במתקפות כופר. CrowdStrike מוקלט עלייה של עד 300% בהתקפות סיניות על תעשיות ממוקדות.
ISO 27001 כבסיס לחוסן
תכנון לחוסן חשוב במיוחד לאור תפנית הפרסה של הממשלה בנוגע לחלק ממדיניות הסייבר. היעדר הנחיות ממשלתיות מגביר את החשיבות שחברות יפעלו לפי הנורמות המקובלות.
במקרים מסוימים, פירוש הדבר יהיה המשך לרוחן של תקנות ממשלתיות מחמירות יותר שבוטלו. סטנדרטים כגון ISO 27001 מהווים גם עזרים שימושיים לחברות המעוניינות בבסיס איתן בשיטות עבודה נאותות של אבטחת מידע. בפרט, ISO 27001:2022 מגדיר נספח א' 5.29 – אבטחת מידע במהלך שיבושים, להבטחת אבטחת מידע בזמני שיבושים.
כדי שכל זה יעבוד, מנהיגים עסקיים חייבים להאמין ולשאת באחריות לאמצעי אבטחת מידע מבניים. תפקידם להבטיח את המבנה המתאים להתכונן, להגיב ולמתן שיבושים. אולי עדיין לא מתאים לומר "אף אחד לא בא להציל אתכם", אבל אם היה אי פעם זמן טוב יותר להרים את הגשר המתרומם, עכשיו זה יהיה הזמן.
