אסטרטגיית אבטחת סייבר של ארה"ב מעלה את ההתמודדות מול תוקפים

מאת דני ברדבורי • 21 במרץ 2023

זמן קצר לאחר שפרסמנו את שלנו תצוגה מקדימה של אסטרטגיית אבטחת הסייבר הלאומית של ארה"ב (NCS), הממשלה חשפה את המסמך הסופי. הוא הכיל שפה חזקה יותר מאי פעם שכן הוא קרא לחברות ברחבי ארה"ב לחזק את אבטחת הסייבר שלהן וגם הראה חשיבה נבונה שנועדה להתמודד עם כמה בעיות אבטחת סייבר ארוכות טווח בבית ומחוצה לה.

התמקדות בתשתית קריטית

האסטרטגיה מתייחסת לאתגרי אבטחה על פני חמישה עמודי תווך, כאשר הראשון שבהם הוא הגנה על תשתיות קריטיות. נדרשת גישה של גזר ומקל לאתגר הזה. מצד אחד, היא דוגלת ברגולציה מחמירה יותר שתגרום לחברות להיות אחראיות יותר על אבטחת סייבר. עם זאת, היא מכירה בכך שחלק מהסקטורים סובלים מחוסר משאבים בהשוואה לאחרים וקוראת לרגולטורים לקחת בחשבון את רמת המשאבים הזמינים בעת קביעת כללי אבטחת סייבר חדשים.

המסמך משלב את המקל הרגולטורי הזה עם תמריצים לקבלת החלטות טובות לטווח ארוך בתחום אבטחת הסייבר. תמריצים אלה יבואו ממנגנונים הכוללים מבני תעריפים ומס, כך נאמר.

החזקת ספקי טכנולוגיה ומפעילים באחריות

נדבך נוסף ב-NCS, על עיצוב כוחות השוק לתמיכה באבטחת סייבר, מבשר גם הוא על שינוי במיקוד. היא מעבירה אחריות ממה שהיא מכנה השחקנים הפגיעים ביותר באקוסיסטם (משתמשי טכנולוגיה) לספקים ולמפעילים המספקים את הטכנולוגיה. החזקת האחריות באחריות רבה יותר היא עיקרון יסוד של האסטרטגיה.

מפעילים אלה כוללים ספקי שירותי ענן (CSPs), שהם חשובים יותר ויותר באקוסיסטם הטכנולוגי. באותו שבוע ירד ה-NCS, ממלא מקום מנהל הסייבר הלאומי קמבה וולדן נקרא הענן "גדול מדי מכדי להיכשל". שירותי ענן הם גם מקומיים מספיק כדי שתוקפים יוכלו לנצל אותם. יריבים מעבר לים משתמשים לעתים קרובות בתשתית שלהם להתקפות, מה שמקשה על חסימה גיאוגרפית ואמצעי הגנה אחרים.

עם זאת בחשבון, ה-NCS קורא ל-CSP לקחת אחריות רבה יותר בהערכת והפחתת סיכונים למערכות שלהם. זה מצטט הנהלת הצו 13984, "נקיטת צעדים נוספים כדי לטפל במצב החירום הלאומי בהתייחס לפעילויות משמעותיות המבוססות על סייבר זדוניות". מסמך זה מתקופת טראמפ קרא לזיהוי לקוחות טוב יותר בקרב CSPs אך לא נאכף - עד כה.

ההתמקדות החדשה הזו באחריות מגיעה לאלה שמטפלים בנתונים ויוצרים תוכנה לניהולם. הבית הלבן רוצה חקיקה שתקבע דרישות לאומיות לאבטחת נתונים אישיים בהתאם לסטנדרטים ולהנחיות שפותחו על ידי NIST. זוהי האינדיקציה הברורה ביותר עד כה לרצון לחקיקת פרטיות ואבטחת מידע פדרלית חזקה המגנה על הצרכנים במקום שמיכת טלאים של חוקים ברמת המדינה.

ה-NCS גם קורא לחקיקה המכסה ספקי תוכנה, שלדבריה מתחמק מאחריות לתוכנות לא מאובטחות בהסכמי הרישיון שלהם. חוקים אלה יאכופו אחריות על ספקי תוכנה שאינם עומדים בתקני אבטחת תוכנה שכבר נקבעו על ידי NIST. עם זאת, יהיה הסכם נמל בטוח עבור אלה שכן.

יוצא למתקפה

הגנה על רשתות מקומיות וצרכנים היא אחת הזרועות של האסטרטגיה. נדבך נוסף, Disrupt and Dismantle Threat Actors ממליץ על תוקפנות רבה יותר בהורדת מערכות התוקפים.

גישה זו מכוונת לכלל המערכת האקולוגית הפלילית, לא רק לרשתות הבוטים של התוקפים. הממשלה תתמודד עם תוקפי תוכנות כופר על ידי ניסיון להפוך את העסקים הבלתי חוקיים שלהם לפחות רווחיים. משמעות הדבר היא להמשיך למקד לבורסות מטבעות קריפטוגרפיים שבהם הם מוציאים כסף, למשל. האוצר כבר אישר כמה מערכות כאלה, כך שזה מבטא ומכפיל מגמה קיימת כמו חלקים רבים אחרים של האסטרטגיה.

הצבא ייקח חלק משמעותי יותר בהתקפה זו על המערכות האקולוגיות של התוקפים, וייצור אסטרטגיה חדשה לעבודה צמודה יותר עם סוכנויות אזרחיות בהתמקדות בגורמים זדוניים. גם לחברות פרטיות יהיה תפקיד חשוב. הממשלה עבדה בעבר עם ארגונים כמו מיקרוסופט כדי להוריד רשתות זדוניות. ובכל זאת, כעת היא מעלה את הקצב, ומגייסת חברות בגלוי לקמפיין שלה להפיל תוקפים. הוא מייעץ להם להקים "תאים זריזים וזמניים" לפעולות ממוקדות, שפועלים באמצעות סדרה של ארגוני מרכז ממוקדי אבטחת סייבר ללא מטרות רווח המייצגים ממשק עם הפד.

ידיים מעבר לאוקיינוס

חלק מהאסטרטגיה ההתקפית הזו כרוך בשיתוף פעולה בינלאומי, בהתחשב בכך שכל כך הרבה שחקנים זדוניים נמצאים מעבר לים. המסמך מקדיש נדבך שלם לאסטרטגיה הזו, הנמשכת. הבית הלבן כבר נוצר יוזמת Counter-Ransomware Initiative (CRI) למלחמה בתוכנות כופר באוקטובר 2021.

הבעיה היא שרוסיה, שהיא מקלט לקבוצות של תוכנות כופר, אינה חברה ביוזמה הזו. זוהי מדינה אחת, יחד עם סין, צפון קוריאה ואיראן, שהאסטרטגיה מכנה כאיום מעבר לים. כדי להתמודד עם יריבים אלה במרחב הווירטואלי, ה-NCS מבטיח להפעיל לחץ דיפלומטי בינלאומי, תוך עבודה "עם בעלי בריתנו ושותפינו כדי לשלב בין הצהרות גינוי להטלת השלכות משמעותיות".

חשיבה לטווח ארוך יותר

במקום תגובה מזעזעת לאיומי סייבר, ה-NCS מכיל חשיבה לטווח ארוך יותר. דוגמה אחת היא הדיון במעצור ביטוח סייבר אפשרי לכיסוי אירוע סייבר קטסטרופלי שהפורום הכלכלי העולמי אומר מגיע. זוהי תגובה למתיחות הגוברת בין מבטחים ולקוחות על רקע העלות הגוברת של אירועי סייבר.

פעולות ארוכות טווח אחרות נמצאות תחת עמוד נפרד שנקרא להשקיע בעתיד איתן. אלה כוללים אסטרטגיית כוח עבודה וחינוך לאומית בתחום הסייבר כדי לפצות על היעדר כישורי אבטחת סייבר בארה"ב ויוזמה לבניית פתרונות זהות דיגיטלית טובים יותר, להילחם במגיפה הנוכחית של גניבת זהות. עמוד זה קורא גם לאבטחת שרשראות אספקה דיגיטליות וחושב קדימה לעולם פוסט-קוונטי, וקורא לפתרונות שיכולים לחבר נתונים כאשר מחשבים קוונטיים מאיימים על שיטות הצפנה קיימות.

מסמך האסטרטגיה הזה הוא מאמץ ראוי לשבח לחשוב בצורה מושכלת על הבעיות של היום תוך שמירה על עין פקוחה על אלה של מחר. הבעיה, כמו תמיד, היא הביצוע. הרשות המבצעת יכולה לעשות כל כך הרבה בעצמה כדי לממש את השאיפות הללו. ה-NCS מודה שהוא מסתמך על הרשות המחוקקת כדי לדחוף רבים מהשינויים הללו.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.