Почему этот указ вынужден оказаться среди всех остальных, которые он не подписал?
По некоторым сообщениям, президент Трамп не умеет читать , не воспринимает реальность и не понимает шуток .
Действительно, это тревожит и озадачивает. Но вот то, над чем специалисты по компьютерной безопасности ломают голову: почему Дональд Трамп откладывает подписание нового указа относительно кибербезопасности.
С одной стороны, в соответствии с просочившейся информацией, указ возложит еще большую ответственность на руководителей в составе правительства США за любые упущения в области компьютерной безопасности. Как сообщалось ранее , административный указ потребует от высших руководителей в составе правительства применять программу киберзащиты, разработанную NIST – Американским Национальным институтом стандартов и технологий.
Указы Трампа в других сферах – иммиграционный запрет , выдвижение советника Стива Бэннона в Совет Национальной безопасности США и так далее — вызвали множество споров. В противоположность этому, указ относительно кибербезопасности, который никогда не был подписан, вызвал благожелательное отношение, или, скорее, коллективный вздох о том, что в нем нет ничего ужасного, условно говоря.
Ричард Стиннон, главный директор по стратегии компании Blancco Technology Group и автор книги «Будет Кибервойна», считает, что проект указа имеет смысл.
«Очевидно, что многое еще предстоит сделать, чтобы защитить от кибератак не только федеральные агентства, но и важнейшую инфраструктуру страны», — сказал Стиннон. «Возложение на министров и руководителей ответственности за кибербезопасность их организаций – тоже хорошая идея. Каждый руководитель, в свою очередь, должен сделать следующий шаг и возложить ответственность на тех, кто нам самом деле имеет дело с вопросами кибербезопасности».
«Каждый сетевой администратор, системный администратор и менеджер программ должны быть привлечены к ответственности за безопасность своих собственных систем. Это сразу же выведет на поверхность основные уязвимости, поскольку ответственные лица сразу увидят препятствия на пути к обеспечению должного уровня киберзащиты».
Кирстен Бэй, исполнительный директор и президент компании Cyber Adapt, на протяжении многих лет консультировала Белый дом и Европейский союз. Она сказала, что «элемент ответственности имеет важное значение». Она также добавила, что лицам, ответственным за защиту компьютерных систем Америки, должны быть предоставлены необходимые ресурсы.
Работа аудиторов
Первый проект указа призывал к осуществлению 60-дневного обзора уязвимостей, имеющихся в правительственных сетях страны. «Это не будет слишком обременительно, поскольку подобная проверка уже проводилась предыдущей администрацией», — сказал Стиннон. «Таким образом, все, что требуется — свежий взгляд на приоритеты в свете новой реальности государственного влияния и потенциальных атак».
Наряду с поиском уязвимостей, следует обратить внимание и на хранение данных: хранилища важнейших данных должны быть идентифицированы и их защита должна быть сделана приоритетом.
Правила и роли
«Вероятно, имеется слишком много различных групп, претендующих на ответственность за кибербезопасность», — заключил Стиннон. «Централизация поможет избавиться от путаницы, хотя руководство Министерства обороны, возможно, не совсем подходит для этой роли. Было бы лучше иметь отдельного руководителя на уровне министерства, который будет знаком как с технической, так и с политической стороной работы».
Дискуссии относительно кибербезопасности в период после неожиданного успеха Трампа на президентских выборах в 2016 году были сосредоточены на обвинении Кремля во вмешательстве. Разведслужбы США пришли к выводу, что подразделения российской военной разведки и ФСБ стремились повлиять на исход выборов путем взлома электронной почты Демократической Партии и утечки конфиденциальной переписки.
Трамп скептически относился к этим выводам, предполагая, что любой — Россия, Китай, или кто-то в подвале Нью-Джерси — мог бы проникнуть внутрь политической машины демократов. Это настроило президента против разведслужб, однако, после встречи лицом к лицу, он неохотно согласился , что российские хакеры сыграли определенную небольшую роль . В конечном счете, Трамп одержим созданием внешнего образа, в частности, образа того, как он единолично победил на выборах, без чьей-либо помощи. Он добился всего этого сам, потому что он — Дональд Трамп, величайший человек из всех живущих. Любое предположение, что, в действительности, русские дали ему значительное преимущество, является, по его мнению, возмутительным.
Конгресс США настроен провести слушания относительно участия России, что, вероятно, и будет определять будущую политику в сфере кибербезопасности.
Парень Руди
Проект политики оставляет неясным поле деятельности для советника Трампа в сфере кибербезопасности, Руди Джулиани. «Вопрос о том, чем он будет заниматься, продолжает оставаться открытым», — сказала Бэй. Джулиани может занимать такую же позицию, как и Говард Шмидт, координатор кибербезопасности при администрации Обамы.
Наличие четкой политики в сфере кибербезопасности помогает сформировать стратегии как в отношениях с поставщиками услуг, так и в соответствии с нормативно-правовой базой, в рамках которой приходится работать компаниям и делиться конфиденциальной информацией клиентов. Промедление в подписании указа является нежелательным, хотя вряд ли беспрецедентным: администрация Обамы также медлила с объявлением нескольких стратегических позиций. Безусловно, стоит проконсультироваться с экспертами и политиками, пересмотреть и переработать, вместо того, чтобы издавать плохо подготовленные указы, в стиле Бэннона.
Реакция на бездействие
Эксперты по безопасности предполагают, что задержка подписания политики кибербезопасности администрацией Трампа может быть обусловлена диспутом с технологическими компаниями относительно виз H-1B , программы, которую администрация Трампа стремится свернуть вопреки возражениям Силиконовой долины. Кроме того, причиной может быть «закулисное» лоббирование или же реакция Трампа, разозленного тем, что Бэннон отредактировал политику Совета национальной безопасности без ведома президента.
Возможно, Дональд потерял интерес к идее возложения ответственности за упущения в кибербезопасности на своих руководителей: лидеры в составе правительстве, признающие свои ошибки и упущения, заставляют президента выглядеть слабым, а Трамп ненавидит это.
«Политики могут быть парализованы сложностью кибербезопасности. Это может привести к разработке плохой политики или вообще к ее отсутствию, что, в принципе, одно и тоже», — предполагает Бэй. И хотя руководству в сфере кибербезопасности требуется встряска для того, чтобы Дядя Сэм смог адаптироваться к новым угрозам и типам атак, по словам Бэй, еще многое предстоит сделать в области применения и соблюдения существующей политики в области кибербезопасности.
«Мы должны обращать внимание на то, как применять правила, уже созданные нами, а также на то, каким образом мы финансируем образовательные программы», — сказала Бэй.
Пока неясно, насколько хорошо сможет администрация Трампа работать совместно с экспертами в мире информационной безопасности, особенно учитывая, что многие специалисты выступают за более широкое международное сотрудничество, которое, на первый взгляд, расходится с протекционистской философией Трампа. Тем не менее, есть один плюс: Трамп настаивает на том, что при введении нового правила, должны быть уничтожены два из уже имеющихся. «Нам нужно меньше правил и больше действий», — сказала Бэй.