Выпущенный в последние дни работы администрации, долгожданный указ последовал за серией сложных атак на федеральные агентства и поставщиков критически важной инфраструктуры.

Администрация Байдена выпускает широкомасштабный указ о кибербезопасности

Заместитель советника по национальной безопасности по кибербезопасности и новым технологиям Энн Нойбергер выступает на ежедневном пресс-брифинге в Белом доме 17 февраля 2021 года. Администрация Байдена издала указ о кибербезопасности 16 января 2025 года. Дрю Энджерер через Getty Images

В четверг Белый дом опубликовал долгожданный указ о борьбе с растущим уровнем сложных атак, направленных на правительственные учреждения США, поставщиков критически важной инфраструктуры и высокопоставленных лиц со стороны связанных с государством группировок угроз и других злонамеренных субъектов.

Указ предоставит США больше полномочий по введению санкций против злоумышленников, которые нарушили работу больниц и других критически важных поставщиков услуг.

Федеральные власти также планируют использовать 100 миллиардов долларов ежегодных расходов правительства на ИТ, чтобы гарантировать разработку технологическими компаниями более безопасного программного обеспечения.  

Приказ последовал за серией кампаний, связанных с государством, включая взлом девяти телекоммуникационных компаний Salt Typhoon, а также отдельную атаку на Министерство финансов, связанную с компрометацией клиентов BeyondTrust. Все недавние атаки были связаны с хакерами, поддерживаемыми Китайской Народной Республикой.

«Цель состоит в том, чтобы сделать взломы дорогостоящими и более сложными для Китая, России, Ирана и преступников, занимающихся вирусами-вымогателями, а также дать понять, что Америка настроена серьезно, когда дело касается защиты нашего бизнеса и наших граждан», — заявила журналистам во время виртуального брифинга в среду Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям.

Нойбергер также упомянула предыдущие взломы, включая связанное с Россией нацеливание на спутниковые системы перед вторжением на Украину в 2022 году и связанный с государством взлом Microsoft Exchange Online в 2023 году.

Чиновники Белого дома еще не провели конкретных переговоров с новой администрацией по поводу указа, поскольку администрация Трампа еще публично не назвала своего нового киберруководителя. Нойбергер и другие эксперты по киберполитике заявили, что существует двухпартийная поддержка дополнительных мер по повышению киберустойчивости.

Чтобы повысить безопасность в государственном и частном секторе, указ президента направлен на: 

  • Предоставить США больше полномочий для введения санкций против хакеров, имеющих критически важных поставщиков услуг, включая больницы. 
  • Требовать от поставщиков программного обеспечения, ведущих бизнес с федеральным правительством, доказательств использования ими безопасных методов разработки. Федеральное правительство планирует проверить эти доказательства и опубликовать информацию, чтобы помочь покупателям из частного сектора принимать обоснованные решения относительно безопасного программного обеспечения.
  • Национальный институт стандартов и технологий разработает руководство по безопасному и надежному развертыванию обновлений программного обеспечения.
  • Администрация общих служб разработает руководство по безопасному использованию этих продуктов клиентами облака.
  • Определить минимальные стандарты кибербезопасности для компаний, работающих с федеральным правительством. Бюрократия и требования к кибербезопасности для использования федеральных информационных систем будут упрощены на три года.
  • Федеральные органы власти начнут исследования инструментов на основе ИИ для поиска уязвимостей программного обеспечения, управления исправлениями и обнаружения угроз. Будет разработано государственно-частное партнерство для использования ИИ для защиты критической инфраструктуры в энергетическом секторе.
  • США будут закупать только подключенные к Интернету устройства, соответствующие стандартам Cyber ​​Trust Mark, начиная с 2027 года.

Кателл Тилеманн, выдающийся вице-президент-аналитик Gartner, сказал, что указ представляет собой набор проблем безопасности, которые администрация Байдена хотела бы решить гораздо раньше.

«Он имеет широкий охват и читается как список пожеланий уходящей администрации, которые она хотела решить, но у нее не хватило времени на реализацию», — сказал Тилеманн Cybersecurity Dive по электронной почте.

Некоторые пункты указа могут оказаться более простыми в реализации, чем другие, поскольку новая администрация, вероятно, сможет отменить некоторые из этих инициатив, отметил Тилеманн.