ההימור על אבטחת סייבר גבוה מתמיד. החברה כל כך קשורה ותלויה בטכנולוגיה דיגיטלית עד שהתקפה חמורה מספיק עלולה לשתק פונקציות קריטיות. ממשלת ארה"ב מודעת לאיום ומכינה את מה שמבטיח להיות מסמך אסטרטגיית הסייבר האגרסיבי ביותר אי פעם. המכונה אסטרטגיית אבטחת הסייבר הלאומית (NCS), היא עדיין תחת כיסוי בזמן כתיבת שורות אלה, אבל אלה שראו את זה מבטיחים שזה ישדרג את יכולות אבטחת הסייבר בארה"ב. הנה מה שאנחנו יודעים ולמה לצפות.
היסטוריה של מדיניות אבטחת סייבר רכה
עד הממשל הנוכחי, הבית הלבן נקט בגישה קלה יחסית לאבטחת תשתית לאומית קריטית (CNI). סוג זה של תשתיות, הנחשב חיוני לתפעול החברתי, הוא מקיף, כולל 16 סעיפים החל מאוכל ועד כספים.
מאמצי העבר להגן על ה-CNI היו כמו פלח זה של הכלכלה עצמה: מקוטעת ובלתי קוהרנטית. ממשלים קודמים הוציאו הנחיות אבטחת סייבר מרצון למגזרי CNI, והותירו לרגולטורים לפתח ולאכוף בקרות אבטחת סייבר חזקות יותר.
חלק מהבקרות הללו הצליחו יותר מאחרות ולעתים קרובות הוטלו ברמת המדינה. לדוגמה, מחלקת השירותים הפיננסיים של ניו יורק (NYDFS) הוציאה את תקנת חלק 500, שנכנסה לתוקף ב-2017 ונקטה בגישה אגרסיבית לאכיפת אבטחת סייבר. ה-SEC גם הגביר את בקרת אבטחת הסייבר.
עם זאת, מגזרים אחרים היו פחות אגרסיביים. מחלקות המים העירוניות לרוב חסרות מומחיות באבטחת סייבר. לחברות בתעשיות אחרות הנחשבות חלק מה-CNI לרוב יש סדרי עדיפויות מתחרים כמו שמירה על ביצועים פיננסיים רבעוניים.
עוד לפני מתקפת תוכנת הכופר במאי 2021 על צינור קולוניאלי שגרמה למחירי הבנזין להמריא ברחבי מזרח ארה"ב, ממשל ביידן כבר התקדם לעבר גישה מגובשת ומעשית יותר לאבטחת CNI. באפריל 2021, היא החלה סקירה מגזרית והקשחה של ה-CNI עם תוכנית של 100 ימים להגברת האבטחה בקרב שירותי חשמל.
ביולי אותה שנה, הנשיא עקב אחר כך על ידי חתימה על מזכר הביטחון הלאומי על שיפור אבטחת סייבר עבור מערכות בקרת תשתית קריטית, ונשבע לטפל בהגנות אבטחת סייבר במגוון מגזרים של CNI. הממשלה הנפיק דרישות אבטחת סייבר משמעותיות למפעילי צינורות נפט וגז בחודשים מאי ויולי, הודיע תוכנית הפעולה של משק המים בינואר 2022, והתמקדה ב כימי מגזר עם תוכנית אחרת באוקטובר האחרון.
צעדים אלה היו אגרסיביים יותר מניסיונות הממשלים הקודמים. היא הטילה אמצעים מחייבים, כגון דרישת תוכניות תגובה לאירועים. הרשות המבצעת עבדה גם עם הקונגרס כדי ליצור את חוק דיווח אירועי סייבר לתשתיות קריטיות, שבסופו של דבר יאכוף חלון התראה על התקפת סייבר של 72 שעות עבור מפעילי CNI.
אלה שראו את מסמך האסטרטגיה מאמינים שהוא יאחד את הגישה הזו, תוך נקיטת צעדים נוספים כדי לאלץ חברות במגזרי CNI להקשיח את ההגנה שלהן. המסמך ידרוש העברת אחריות לחברות שלא יישמו אמצעים מתאימים.
לא עוד מר נחמד גאי
מסמך האסטרטגיה לא רק מחדד צעדי הגנה; הוא גם מפנה את תשומת הלב החוצה. זה כולל אמצעים מפורשים למיקוד שחקנים זדוניים, אומרים יודעי דבר.
ממשלת ארה"ב הפכה יותר ויותר ניצית במיקוד שלה כלפי גורמי איומים במרחב הווירטואלי. ממשל אובמה שמר על פעילויות סייבר התקפיות, ודרשו אישור מפורש נשיאותי לרדוף אחרי אויבי ארה"ב באינטרנט. ממשל טראמפ הוריד את הרגל מהבלם ב-2018, הנפקת תזכיר נשיאותי לביטחון לאומי מס' 13, שהעניק לפנטגון יותר אוטונומיה בפתיחת פעולות סייבר התקפיות.
בתחילה, הבית הלבן ביידן בחן האם עליו לבטל חלק מהצעדים של טראמפ. עם זאת, דיווחים מצביעים על כך שהאסטרטגיה הלאומית לאבטחת סייבר תיקח אותם צעד קדימה.
"המטרה שלנו היא לגרום לשחקנים זדוניים לבלתי מסוגלים להקים קמפיינים מתמשכים מבוססי סייבר שיאיימו על הביטחון הלאומי או ביטחון הציבור של ארצות הברית", נכתב במסמך במדור בן חמישה עמודים שכותרתו "לשבש ולפרק פעילויות איום". הוא גם אומר שכוח המשימה הלאומי לחקירות סייבר של ה-FBI יעבוד עם סוכנויות אחרות כדי להפריע ובסופו של דבר להפיל רשתות של תוקפים.
אכיפת מה שמגיע
על פי הדיווחים הממשלה גם תגייס חברות פרטיות כשותפות במאבק בתוקפים, ותשתף איתן מידע על דפוסי תקיפה. שותפויות אלו, יחד עם אמצעי האכיפה שאנו צפויים לראות ב-NCS, מעלים שאלה: עד כמה הרשות המבצעת תוכל לאכוף זאת?
המסמך פורץ הדרך של הממשלה לפני זה, זה של מאי 2021 צו מבצעי לשיפור אבטחת הסייבר של האומה, היה מצומצם יותר בהיקפה מכיוון שפקודות ביצוע חלות רק על סוכנויות פדרליות. כל לחץ שהופעל על המגזר הפרטי היה עקיף, באמצעות הטלת בקרות אבטחת סייבר במדיניות הרכש הפדרלית שתחייב ציות לספקים.
מסמך האסטרטגיה החדש יחול על מספר עצום של חברות פרטיות אשר באופן מסורתי היו זהירים לגבי תקנות אבטחת סייבר ממשלתיות. לדוגמה, שיתוף מידע היה נקודה שנויה במחלוקת בעבר. חברות חוששות מאחריות משפטית אם הן חושפות את היקף והיקף ההתקפות לממשלה.
חלק מהמגזרים הכלולים ב-CNI עשויים להיות קשים מבחינה משפטית לבית הלבן להסדיר. היא תזדקק לעזרה של סוכנויות וקונגרס מפולג עמוקות, לא מתפקד, שיתברר כבעייתי בדחיפת חוקים הגיוניים. נדע יותר כאשר המסמך ייפול, וזה אמור להיות בקרוב מאוד.
