Čtyři dny před svým odchodem z úřadu vydal americký prezident Joe Biden rozsáhlou směrnici o kybernetické bezpečnosti, která nařizuje zlepšení způsobu, jakým vláda monitoruje své sítě, nakupuje software, používá umělou inteligenci a trestá zahraniční hackery.
Čtyřicetistránkový výkonný příkaz zveřejněný ve čtvrtek je posledním pokusem Bílého domu Bidena o nastartování úsilí o využití bezpečnostních výhod AI, zavedení digitální identity pro občany USA a odstranění mezer, které pomohly Číně, Rusku a dalším protivníkům opakovaně pronikat. Vládní systémy USA.
Nařízení „je navrženo tak, aby posílilo americké digitální základy a také uvedlo novou administrativu a zemi na cestu k trvalému úspěchu,“ řekla ve středu novinářům Anne Neubergerová, Bidenova zástupkyně poradce pro národní bezpečnost pro kybernetickou a vznikající technologii.
Nad Bidenovou směrnicí se rýsuje otázka, zda bude nově zvolený prezident Donald Trump v některé z těchto iniciativ pokračovat i poté, co v pondělí složí přísahu. Žádný z vysoce technických projektů nařízených v příkazu není stranický, ale Trumpovi poradci mohou preferovat různé přístupy (nebo harmonogramy) k řešení problémů, které příkaz identifikuje.
Trump nejmenoval žádného ze svých nejvyšších kybernetických úředníků a Neuberger řekl, že Bílý dům o příkazu nediskutoval s jeho přechodným personálem, „ale jsme velmi rádi, že jakmile bude jmenován nový kybernetický tým, budeme o tom diskutovat. během tohoto posledního přechodného období.“
Jádrem exekutivního nařízení je řada mandátů pro ochranu vládních sítí na základě poučení z nedávných velkých incidentů – jmenovitě bezpečnostních selhání federálních dodavatelů.
Objednávka vyžaduje, aby dodavatelé softwaru předložili důkaz, že dodržují postupy bezpečného vývoje, a to na základě mandátu, který debutoval v roce 2022 v reakci na Bidenův první kybernetický výkonný příkaz. Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury by měla za úkol tato bezpečnostní atestace zkontrolovat a spolupracovat s prodejci na odstranění případných problémů. Abychom tomuto požadavku trochu vyhověli, Kancelář Národního kybernetického ředitele v Bílém domě se „vybízí k tomu, aby atestace, která selhala při ověření, předala generálnímu prokurátorovi“ k případnému vyšetřování a stíhání.
Nařízení dává ministerstvu obchodu osm měsíců na to, aby posoudilo nejběžněji používané kybernetické praktiky v podnikatelské komunitě a vydalo na jejich základě pokyny. Krátce poté by se tyto praktiky staly povinnými pro společnosti, které chtějí obchodovat s vládou. Směrnice také zahajuje aktualizace pokynů pro bezpečný vývoj softwaru Národního institutu pro standardy a technologie.
Další část směrnice se zaměřuje na ochranu ověřovacích klíčů cloudových platforem, jejichž kompromitace otevřela dveře čínské krádeži vládních e-mailů ze serverů Microsoftu a jejímu nedávnému hacknutí ministerstva financí do dodavatelského řetězce. Commerce a General Services Administration mají 270 dní na to, aby vypracovaly pokyny pro ochranu klíčů, které by se pak musely stát požadavky pro cloudové dodavatele do 60 dní.
Abychom ochránili federální agentury před útoky, které se spoléhají na nedostatky v gadgetech internetu věcí, nařízení stanoví 4. ledna 2027, termín, do kterého mají agentury nakupovat pouze spotřebitelská IoT zařízení, která nesou nově zavedenou značku US Cyber Trust Mark.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
