12 мая президент Байден подписал указ о совершенствовании кибербезопасности страны и защите сетей федерального правительства. Недавние инциденты в области кибербезопасности, такие как SolarWinds, Microsoft Exchange и инцидент с Colonial Pipeline, являются отрезвляющим напоминанием о том, что американские государственные и частные организации все чаще сталкиваются со сложной злонамеренной кибер-активностью как со стороны национальных государственных субъектов, так и со стороны киберпреступников. Эти инциденты имеют общие черты, включая недостаточную киберзащиту, что делает предприятия государственного и частного секторов более уязвимыми к инцидентам.
Этот указ вносит значительный вклад в модернизацию системы защиты кибербезопасности путем защиты федеральных сетей, улучшения обмена информацией между правительством США и частным сектором по кибер вопросам и укрепления способности Соединенных Штатов реагировать на инциденты, когда они происходят. Это первый из многих амбициозных шагов, предпринятых администрацией для модернизации национальной киберзащиты. Однако инцидент с Colonial Pipeline является напоминанием о том, что одних только федеральных мер недостаточно. Значительная часть нашей внутренней критической инфраструктуры принадлежит и управляется частным сектором, и эти компании частного сектора сами принимают решение в отношении инвестиций в кибербезопасность. Мы призываем компании частного сектора последовать примеру федерального правительства и принять амбициозные меры по увеличению и согласованию инвестиций в кибербезопасность с целью минимизации будущих инцидентов.
В частности, указ, который президент подписывает сегодня, будет направлен на:
Устранение барьеров на пути обмена информацией об угрозах между правительством и частным сектором.
Исполнительный указ гарантирует, что поставщики ИТ-услуг могут обмениваться информацией с правительством и требует от них обмена определенной информацией о брешах. ИТ-провайдеры часто не решаются или не могут добровольно обмениваться информацией о компрометации. Иногда это может быть связано с договорными обязательствами; в других случаях поставщики услуг просто не решаются делиться информацией о своих собственных нарушениях безопасности. Устранение любых договорных барьеров и требование к поставщикам обмениваться информацией о нарушениях, которые могут повлиять на правительственные сети, необходимы для обеспечения более эффективной защиты федеральных ведомств и улучшения кибербезопасности страны в целом.
Модернизация и внедрение более строгих стандартов кибербезопасности в федеральном правительстве.
Указ помогает федеральному правительству обеспечить безопасность облачных служб и архитектуру с нулевым доверием, а также предписывает развертывание многофакторной аутентификации и шифрования с определенным периодом времени. Устаревшие модели безопасности и незашифрованные данные привели к компрометации систем в государственном и частном секторах. Федеральное правительство должно идти впереди и увеличить внедрение передового опыта в области безопасности, в том числе путем использования модели безопасности с нулевым доверием, ускорения движения к обеспечению безопасности облачных служб и последовательного развертывания основополагающих инструментов безопасности, таких как многофакторная аутентификация и шифрование.
Повышение безопасности цепочки поставок программного обеспечения.
Указ повысит безопасность программного обеспечения путем установления базовых стандартов безопасности для разработки программного обеспечения, продаваемого правительству, включая требование к разработчикам обеспечивать большую прозрачность своего программного обеспечения и делать данные о безопасности общедоступными. Он одновременно поддерживает процесс государственного и частного сектора для разработки новых и новаторских подходов к обеспечению разработки программного обеспечения и использует возможности федеральных закупок для стимулирования рынка. Наконец, он создает пилотную программу для создания обозначения "энергетической звезды", чтобы правительство и общественность в целом - могли быстро определить, безопасно ли было разработано программное обеспечение. Слишком большая часть нашего программного обеспечения, включая критически важное программное обеспечение, поставляется со значительными уязвимостями, которые используют наши противники. Это давняя, хорошо известная проблема, но слишком долго мы ее игнорировали. Мы должны использовать покупательную способность федерального правительства, чтобы стимулировать рынок для создания безопасности во всем программном обеспечении с нуля.
Создать Совет по обзору защиты кибербезопасности.
Исполнительный указ устанавливает Совет по обзору защиты кибербезопасности, сопредседателями которого являются правительственные и частные компании, которые могут собраться после значительного кибер-инцидента для анализа произошедшего и вынести конкретные рекомендации по улучшению кибербезопасности. Слишком часто организации повторяют ошибки прошлого и не извлекают уроков из значительных кибер-инцидентов. Когда что-то идет не так, администрация и частный сектор должны задавать трудные вопросы и внести необходимые улучшения. Этот совет смоделирован по образцу Национального совета по безопасности на транспорте, который используется после авиакатастроф и других инцидентов. Создайте стандартный учебник для реагирования на кибер-инциденты.
Указ создает стандартизированный учебник и набор определений для реагирования на кибер-инциденты со стороны федеральных департаментов и учреждений. Организации не могут ждать, пока они будут скомпрометированы, чтобы выяснить, как реагировать на атаку. Недавние инциденты показали, что в правительстве уровень зрелости планов реагирования сильно различается. В учебнике будет обеспечиваться, чтобы все федеральные учреждения соответствовали определенному порогу, и готовы принять единые меры по выявлению и смягчению угрозы. Этот учебник также предоставит частному сектору шаблон для его мер реагирования.
Улучшение обнаружения инцидентов кибербезопасности в федеральных правительственных сетях.
Указ улучшает способность обнаруживать злонамеренную киберактивность в федеральных сетях, обеспечивая общегосударственную систему обнаружения и реагирования на конечных точках и улучшая обмен информацией в рамках федерального правительства. Медленное и непоследовательное развертывание основополагающих средств и практик кибербезопасности делает организацию подверженной воздействию противников. Федеральное правительство должно возглавить кибербезопасность, и важное значение имеет надежное развертывание системы обнаружения и реагирования на конечных точках (EDR) в масштабах всего правительства в сочетании с надежным обменом информацией внутри правительства.
Улучшение возможностей для проведения расследований и восстановительных работ.
Указ создает требования к журналу событий в области кибербезопасности для федеральных департаментов и агентств. Плохое ведение журнала ограничивает способность организации обнаруживать вторжения, смягчать их последствия и определять масштабы инцидента постфактум. Надежные и последовательные методы ведения журнала решат большую часть этой проблемы.
Из пресс-релиза Белого дома