إصدار قانون أمريكي جديد لحماية البنية التحتية من الهجمات الإلكترونية

وقع الرئيس بايدن أمرا تنفيذيا يهدف إلى حماية البنية التحتية الأمريكية من الهجمات الإلكترونية. وتم توقيع الأمر بعد يوم من تحذير البيت الأبيض من أن الهجمات الإلكترونية يمكن أن “تؤدي إلى حرب إطلاق نار حقيقية”.

الجهود المبذولة للتركيز بشكل أكبر على الأمن السيبراني ليست جديدة ، لكن من الواضح أن أهمية القضية كانت مدفوعة بالهجوم على Colonial Pipeline ، الذي يزود الساحل الشرقي بما يصل إلى 45 في المائة من البنزين ووقود الطائرات.

يتعلق الأمر في الغالب بالتدابير الطوعية التي تطلب من الشركات تلبية معايير الأمان. ويشمل ذلك مسائل مثل تشفير البيانات والمصادقة الثنائية لأي شخص يستخدم نظاما. وقد وصفت الإدارة التدابير الأمنية المعمول بها الآن بأنها “غير كافية بشكل يرثى له” وقررت وضع سلسلة من “أهداف الأداء” التي ستقيم كيفية استعداد كل شركة لمكافحة تهديدات الأمن السيبراني.

التركيز على التكنولوجيا القائمة على السحابة

تعد التكنولوجيا السحابية جزءا مهما بشكل خاص من المقلدة الجديدة. وسيكون الهدف هو وضع استراتيجية وطنية للأمن السحابي تلتزم بها جميع الوكالات الحكومية. الفرق الرئيسي في النهج هو أن الحكومة كانت تركز حتى الآن على التسلل إلى الشبكة القادمة من الخارج بينما تحشد على افتراض أن كل شخص داخل الشبكة جدير بالثقة. لن يكون هذا هو الحال بعد الآن ، ويتم بذل الجهود لحماية البيانات عند نقلها وكذلك عندما تكون راكدة.

مجموعة من الجداول الزمنية

الوقت هو الجوهر فيما يتعلق بأمن البيانات وهذا الأمر التنفيذي يدل على أن الحكومة تدرك ذلك. هذا ليس مفاجئا نظرا لوجود تقارير عن هجمات إلكترونية محتملة أو فعلية تأتي يوميا. تأتي كل مبادرة من المبادرات التي تم إعدادها في الطلب مع جدول زمني يتراوح من 60 إلى 180 يوما تحتاج الشركات المعنية خلاله إلى الامتثال للقواعد الجديدة.

الهدف هو أن تزيد الحكومة من قدرات إعداد التقارير لجميع المعنيين وخاصة للشركات التي تعمل مع الوكالات الفيدرالية.  يهدف الترتيب والجداول الزمنية التي ينشئها إلى إظهار مدى أهمية رفع مستوى لعبة الجميع حول قضايا الأمان.

الامتثال هو المفتاح

في هذه المرحلة ، كل وكالة فيدرالية لديها مجموعة خاصة بها من القواعد عندما يتعلق الأمر بالأمن السيبراني. هذا يعني أن كل شركة لديها عقد مع الوكالة الحكومية تحتاج إلى الالتزام بقواعدها وبالتالي فإن كل عقد حكومي مختلف.

الهدف من إدارة بايدن هو إنشاء نظام موحد للامتثال، وبالتالي التأكد من أن كل عقد يتطلب نفس المستوى من الأمان من أولئك الذين يوقعونه.

البرنامج الفيدرالي للمخاطر والإدارة (FedRAMP) هو برنامج الأمن السيبراني الحكومي المكلف بتوفير هذا النهج الموحد. سيؤدي ذلك إلى أتمتة العملية وبالتالي إنشاء معيار عندما يتعلق الأمر بقضايا الأمن السيبراني.

ماذا يعني كل ذلك بالنسبة للمقاولين الحكوميين؟

للوهلة الأولى ، قد يبدو أن اللوائح الجديدة يمكن أن تكون مشكلة لأولئك الذين يعملون مع الحكومة أو الذين يحاولون الدخول في هذه السوق المربحة. ومع ذلك ، فإن مجموعة واضحة من المبادئ التوجيهية مرحب بها بالفعل من قبل معظم الشركات التي تعمل في هذا المجال. إنه يوفر مجالا متكافئا ويعطي تعليمات واضحة حول ما هو متوقع منهم. كما أنه مؤشر على ما ستركز عليه الحكومة عندما يتعلق الأمر بالأمن السيبراني ويشير أيضا إلى أين يتجه الابتكار وما الذي يجب الاستثمار فيه عندما يتعلق الأمر بتقنيات الأمن.

غياب السلطة

تتمثل إحدى المشكلات الرئيسية للحكومة الفيدرالية التي تتطلع إلى تنظيم قضايا الأمن السيبراني في أنها لا تملك سوى القليل من السلطة للقيام بذلك.  يتم تشغيل العناصر الرئيسية للبنية التحتية الأمريكية من قبل شركات خاصة ولا تستطيع الحكومة الفيدرالية (أو حكومات الولايات في هذا الشأن) إملاء التدابير الأمنية التي تستخدمها هذه الشركات.

كان هذا هو الحال مع خط أنابيب كولونيال ، الذي أسقطه المتسللون ، عن طريق الصدفة تقريبا ، لأن هجومهم كان يذهب إلى نظام أعمال الشركة. JBS ، التي كانت أيضا هدفا لهجوم الفدية هي واحدة من أكبر منتجي لحوم البقر في العالم ، ومهاجمتها يمكن أن تسبب نقصا في الغذاء للبلد بأكمله على الرغم من أنها كيان خاص يتعرض للهجوم.

لذلك تفرض إدارة بايدن قواعد للشركات التي تعمل مع الحكومة على أمل أن تضع معيارا للصناعة ككل وتجعل الشركات تعدل أنظمتها الأمنية وفقا لذلك.

who makes the rules

من يضع القواعد؟

وحتى الآن، كان لدى الشركات شبكاتها غير الرسمية الخاصة من خبراء الأمن السيبراني الذين وجهوا قراراتهم حول ما يشكل ممارسات آمنة. يحاول الأمر التنفيذي وضع المبادرة على عاتق الحكومة ويتم تشغيل الجهود المبذولة لوضع إرشادات أفضل للأمن السيبراني من قبل وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي ووحدة وزارة التجارة التي تضع معايير الصناعة.

هذا تمييز مهم لأن الجهود ستكون موحدة وهناك مجال أكبر للإشراف العام على العملية.

مسألة تتعلق بالأمن القومي

قضايا الأمن السيبراني التي تواجه شركات البنية التحتية لا تتعلق بمعايير الصناعة أو مسألة داخلية لأولئك الذين يعملون في هذه الشركات. إنها مسألة أمن قومي. يتضح ذلك من خلال النمط في من هو المسؤول عن الهجمات ولكن عندما يتعلق الأمر بالتأثير الذي تحدثه هذه الهجمات على الجمهور بشكل عام.

ويظهر هذا الأمر التنفيذي، فضلا عن التدابير الأخرى التي اتخذتها الحكومة، أن النهج المتبع إزاء قضايا الأمن السيبراني سيتغير وأنه سيصبح جزءا من الواجبات الحكومية فيما يتعلق بالسلامة العامة.

للتلخيص

تضع إدارة بايدن معايير جديدة للشركات التي تعمل مع الحكومة عندما يتعلق الأمر بالأمن السيبراني.  ويأتي ذلك بعد هجمات على البنية التحتية للطاقة كان من الممكن أن تكون لها عواقب وخيمة.  

الهدف من الأمر التنفيذي الجديد هو وضع معايير واضحة للشركات التي تحصل على العقود الحكومية واستخدام ذلك كوسيلة لدفع صناعة البنية التحتية بأكملها إلى ممارسات أمنية أفضل.

هل تبحث عن مورد مفيد لحماية عملك من مشكلات وهجمات الأمن السيبراني؟ لقد قمنا بتغطيتك

قم بتنزيل أساسيات الأمن السيبراني الحصرية من ATS: قائمة التحقق من نقاط الضعف.

ATS_cta_checklist_NEW

مقالات ذات صلة