طازجة من مطحنة السياسة الفيدرالية ، إدارة بايدن المكونة من 57 صفحة خطة تنفيذ الاستراتيجية الوطنية للأمن السيبراني يصف (NCSIP) أكثر من 65 مبادرة ستقوم مختلف الوكالات الفيدرالية بتنفيذها خلال السنوات العديدة القادمة. وتشمل هذه تعزيز البنية التحتية الحيوية للولايات المتحدة ضد التهديدات السيبرانية ، وإنشاء مسؤولية قابلة للتنفيذ لمنتجات وخدمات البرامج ، وابتكار طرق أكثر فاعلية لتعطيل وتعطيل عمليات الجهات الفاعلة في التهديد وبنيتها التحتية.

خارطة طريق التنفيذ

اعتبر العديد من المتخصصين في مجال الأمن هذا الأسبوع أن NCSIP مهم لاستراتيجية بايدن للأمن السيبراني للمضي قدمًا وقالوا إن المواعيد النهائية الصارمة نسبيًا تنقل الإحساس الصحيح بالإلحاح إلى أصحاب المصلحة. لكن البعض تساءل - مثل لديهم سابقا - حول كيفية نجاحها بدون التمويل الكافي والدعم من الحزبين في الكونجرس.

قال روبرت دوبري ، مدير الشؤون الحكومية في Telos ، في تعليق عبر البريد الإلكتروني: "لا تزال خارطة الطريق هذه لتنفيذ استراتيجية الأمن السيبراني تشير إلى الاتجاه الصحيح ، ولكن هناك بعض الحفر المالية". على سبيل المثال ، بينما تدعو خطة التنفيذ الوكالات الفيدرالية إلى القضاء على الأنظمة القديمة ، فإن تمويل صندوق تحديث التكنولوجيا (TMF) ، الذي تمت الموافقة عليه في عام 2017 ، لم يكن وشيكًا ، على حد قوله. طلبت الميزانية المقترحة للسنة المالية 2024 مبلغًا تافهًا قدره 200 مليون دولار لـ TMF ، لكن مشروع قانون مخصصات مجلس النواب أوقف حتى هذا التمويل. وأضاف دوبري: "إذا لم يتم توفير تمويل جديد ، فستحتاج الإدارة إلى إيجاد طريقة جديدة للمضي قدمًا في خطتها متعددة السنوات".

وصف الملخص التنفيذي لـ NCSIP نسخة الوثيقة ، التي صدرت هذا الأسبوع ، كأول تكرار لخطة التنفيذ ووصفها بأنها "وثيقة حية" سيتم تحديثها على أساس سنوي. وأشار الملخص إلى أنه "ستتم إضافة المبادرات حسب متطلبات المشهد السيبراني المتطور وإزالتها بعد الانتهاء".

دعا بايدن في مارس الاستراتيجية ضرورية لضمان جميع أصحاب المصلحة - بما في ذلك قطاعات البنية التحتية الحيوية وبائعي البرامج ومقدمي الخدمات - يلعبون دورًا نشطًا في الحماية من التهديدات السيبرانية. وأشار بايدن إلى "سنعيد التوازن بين المسؤولية عن الأمن السيبراني ليكون أكثر فعالية وإنصافًا". "سنعيد تنظيم الحوافز لتفضيل الاستثمارات طويلة الأجل في الأمن والمرونة والتقنيات الجديدة الواعدة."

يتم تجميع أهداف الاستراتيجية السيبرانية تحت خمس ركائز منفصلة: الدفاع عن البنية التحتية الحرجة. تعطيل عوامل التهديد وتفكيكها ؛ تشكيل قوى السوق لدفع الأمن والمرونة ؛ الاستثمار في مستقبل مرن ؛ وصياغة شراكات دولية. توفر وثيقة هذا الأسبوع خطط ومبادرات رفيعة المستوى لتحقيق هذه الأهداف.

على سبيل المثال ، تتضمن خطط تعزيز الدفاع عن البنية التحتية الحيوية وضع متطلبات جديدة للأمن السيبراني للمنظمات في القطاع ، وتوسيع نطاق الشراكات بين القطاعين العام والخاص ، ودمج مراكز الأمن السيبراني الفيدرالية ، وتحديث الخطط والعمليات الفيدرالية للاستجابة للحوادث. وبالمثل ، فإن خطط تفكيك الجهات الفاعلة في التهديد تشمل دمج أنشطة تعطيل فيدرالية منفصلة ، وزيادة سرعة وحجم تبادل معلومات التهديد ، ومنع الجهات الفاعلة في التهديد من إساءة استخدام البنية التحتية الأمريكية لتنفيذ هجمات.

تتضمن خطط الركيزة الثالثة - التي يعتبرها العديد من خبراء الأمن أحد أهم الأهداف الاستراتيجية الخمسة - تطوير إطار عمل مسؤولية البرامج طويل الأجل ، وتعزيز الجهود حول مبادرات قائمة مواد البرمجيات (SBOMs) ، ومبادرات تطوير البرمجيات الآمنة الأخرى . يوفر NCSIP خطط ومبادرات مماثلة لكل من الركائز المتبقية. العديد من هذه الخطط لها مواعيد نهائية للتنفيذ في عام 2025 ، وبعضها قيد التنفيذ بالفعل.

معوقات النجاح

تقول كارين والش ، خبيرة الامتثال للأمن السيبراني في Allegro Solutions ، إن إحدى مشكلات خطة التنفيذ هي أنها تفتقر إلى أي مسار للتنفيذ المنسق والموحد وتترك الوكالات الفردية الخاصة بالقطاع تحت السيطرة. وتقول: "يتطلب إنشاء الإطار القانوني والتنظيمي للتنفيذ العمل مع الكونجرس ، وهو أمر يبدو بعيد الاحتمال في مناخنا السياسي المثير للانقسام حاليًا".

يقول والش إن النافذة التي تمتد من عامين إلى ثلاثة أعوام التي حددتها خطة التنفيذ لإنشاء أطر لمسؤولية البرامج تبدو أيضًا طموحة بعض الشيء. يقول والش: "في الربع الرابع من السنة المالية 4 ، سيعقد مكتب المدير السيبراني الوطني ندوة لمناقشة المجالات المختلفة للقانون التنظيمي والأطر المحتملة". بعد ذلك ، بحلول الربع الثاني من السنة المالية 24 ، يحتاج CISA إلى إكمال تقييم فجوة SBOM ، ولكن من غير المحتمل أن يتم الانتهاء منه قبل عام 2 نظرًا لتعقيد المهمة. "علاوة على ذلك ، اعتمادًا على كيفية هيكلة الحكومة لهذه المسؤولية ، يجب أن تُمنح الوكالة التنظيمية سلطة الإنفاذ ، ثم الانخراط في وضع القواعد ، أو يجب أن يحدد القانون العواقب. مرة أخرى ، هذا يدفع بأي جدول زمني واقعي إلى أبعد من ذلك ".

يرى مايك هاميلتون ، CISO في Critical Insight ، أن NCSIP الجديد يحرك الإبرة إلى الأمام حول أمن البنية التحتية الحيوية والجهود المبذولة لتعطيل الجهات الفاعلة في التهديد. على سبيل المثال ، يبدو أن برنامج NCSIP يركز على توسيع خطة الاستجابة للحوادث الإلكترونية الوطنية بما يتجاوز قطاع البنية التحتية الحيوية لتشمل جميع القطاعات وأحجام الأعمال ، كما يقول. "أظن أنه ستكون هناك أيضًا مبادرة لتجنيد ممارسين من القطاع الخاص كمستجيبين على المستوى الوطني في حالة حدوث اضطراب كبير في البنية التحتية. القضايا التي يجب التغلب عليها ستكون الاعتماد والتعويض ".

بشكل ملحوظ ، تلعب خطة التنفيذ دورًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA) في توفير التدريب على الأمن السيبراني والاستجابة للحوادث لقطاع الرعاية الصحية ، وهو هدف رئيسي لهجمات برامج الفدية. يقول هاميلتون: "إن معرفة أن الاستجابة للحوادث ستكون الآن وكالة فيدرالية في حد ذاتها قد يعطي مشغلي برامج الفدية وقفة عند التفكير في ضرب المستشفيات".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.darkreading.com/vulnerabilities-threats/white-house-releases-implementation-plan-for-cybersecurity-strategy