Η αμερικανική κυβέρνηση ζητά την επιβολή νέων κανονισμών και υποχρεώσεων σε κατασκευαστές λογισμικού και παρόχους υπηρεσιών, σε μια προσπάθεια να μετατοπιστεί το βάρος της κυβερνοάμυνας των ΗΠΑ μακριά από μικρούς οργανισμούς και ιδιώτες.
«Οι πιο ικανοί και καλύτερα τοποθετημένοι παράγοντες στον κυβερνοχώρο πρέπει να είναι καλύτεροι διαχειριστές του ψηφιακού οικοσυστήματος», όπως έγραψαν αξιωματούχοι της κυβέρνησης, σε μια πολυαναμενόμενη ενημέρωση της αμερικανικής Εθνικής Στρατηγικής Κυβερνοασφάλειας.
«Σήμερα, οι τελικοί χρήστες φέρουν πολύ μεγάλο βάρος για τον μετριασμό των κινδύνων στον κυβερνοχώρο. Τα άτομα, οι μικρές επιχειρήσεις, οι κρατικές και τοπικές κυβερνήσεις και οι φορείς εκμετάλλευσης υποδομών έχουν περιορισμένους πόρους και ανταγωνιστικές προτεραιότητες, ωστόσο οι επιλογές αυτών των παραγόντων μπορούν να έχουν σημαντικό αντίκτυπο στην εθνική μας κυβερνοασφάλεια».
Το έγγραφο των 39 σελίδων αναφέρθηκε σε πρόσφατες επιθέσεις ransomware που έχουν διαταράξει νοσοκομεία, σχολεία, κρατικές υπηρεσίες, λειτουργίες αγωγών και άλλες κρίσιμες υποδομές και βασικές υπηρεσίες. Μία από αυτές σημειώθηκε το 2021, με μια επίθεση ransomware στον αγωγό Colonial, ο οποίος παραδίδει καύσιμα σε μεγάλο μέρος των νοτιοανατολικών ΗΠΑ. Η επίθεση έκλεισε τον τεράστιο αγωγό για αρκετές ημέρες, προκαλώντας ελλείψεις καυσίμων σε ορισμένες πολιτείες.
«Το στρατηγικό μας περιβάλλον απαιτεί σύγχρονα και ευέλικτα ρυθμιστικά πλαίσια για την κυβερνοασφάλεια, προσαρμοσμένα στο προφίλ κινδύνου κάθε τομέα, εναρμονισμένα για τη μείωση των διπλών επικαλύψεων, συμπληρωματικά προς τη συνεργασία δημόσιου-ιδιωτικού τομέα και με επίγνωση του κόστους εφαρμογής», αναφέρεται στο έγγραφο.
«Οι νέοι και ενημερωμένοι κανονισμοί κυβερνοασφάλειας πρέπει να βαθμονομούνται ώστε να ανταποκρίνονται στις ανάγκες της εθνικής και της δημόσιας ασφάλειας, επιπλέον της ασφάλειας των ατόμων, των ρυθμιζόμενων οντοτήτων και των υπαλλήλων, των πελατών, των λειτουργιών και των δεδομένων τους».
Ένας άλλος βασικός στόχος της στρατηγικής είναι να ευνοήσει τις μακροπρόθεσμες επενδύσεις «επιτυγχάνοντας μια προσεκτική ισορροπία μεταξύ της υπεράσπισης από επείγουσες απειλές σήμερα και του στρατηγικού σχεδιασμού και επένδυσης σε ένα ανθεκτικό μέλλον».
Μια από τις πρωτοβουλίες που είναι πιθανό να προκαλέσουν αντιδράσεις στον κλάδο της τεχνολογίας είναι η απόφαση να θεωρηθούν οι εταιρείες υπεύθυνες για «τρωτά» σημεία στο λογισμικό ή τις υπηρεσίες τους. Σύμφωνα με τα υπάρχοντα νομικά πλαίσια, αυτές οι εταιρείες συχνά αντιμετωπίζουν ελάχιστες, έως καθόλου, νομικές συνέπειες όταν τα προϊόντα ή οι υπηρεσίες τους γίνονται αντικείμενο εκμετάλλευσης, ακόμη και όταν τα τρωτά σημεία προκύπτουν από μη ασφαλείς προεπιλεγμένες διαμορφώσεις ή γνωστές αδυναμίες.
«Πρέπει να αρχίσουμε να μεταθέτουμε την ευθύνη σε εκείνες τις οντότητες που αποτυγχάνουν να λαμβάνουν εύλογες προφυλάξεις για την ασφάλεια του λογισμικού τους, ενώ αναγνωρίζουμε ότι ακόμη και τα πιο προηγμένα προγράμματα ασφάλειας λογισμικού δεν μπορούν να αποτρέψουν όλες τις ευπάθειες», ανέφερε το έγγραφο. «Οι εταιρείες που κατασκευάζουν λογισμικό πρέπει να έχουν την ελευθερία να καινοτομούν, αλλά πρέπει επίσης να θεωρούνται υπεύθυνες όταν δεν ανταποκρίνονται στη φροντίδα που οφείλουν στους καταναλωτές, τις επιχειρήσεις ή τους παρόχους υποδομών ζωτικής σημασίας».
