В марте американская Cyberspace Solarium Commission (CSC, создана в соответствии с законом США о государственной обороне на 2019 финансовый год для «выработки консенсуса по стратегическому подходу к защите Соединённых Штатов в киберпространстве от кибератак, приводящих к значительным последствиям»), представила 182-страничный отчёт, в котором предложила «стратегию многоуровневого киберсдерживания».
Отчёт содержит 80+ рекомендаций для реализации этой стратегии.
Рекомендации представлены в шести разделах:
- реформа правительства США и реорганизация киберпространства;
- совершенствование стандартов и невоенных инструментов;
- содействие национальной устойчивости;
- изменение киберэкосистемы;
- сотрудничество в области кибербезопасности с частным сектором;
- поддержание на должном уровне и применение военных средств [в киберпространстве].
Согласно отчёту, крупная кибератака на критически важную инфраструктуру и экономическую систему США способна создать хаос и нанести ущерб, превышающий потенциальный ущерб от пожаров, наводнений, ураганов и прочих стихийных бедствий. Для предотвращения этого CSC предлагает следующее.
Во-первых, мероприятия по «сдерживанию в киберпространстве». Федеральное правительство и частный сектор должны защищаться и принимать ответные меры. Реализация данного предложения осложняется тем, что правительство не разработало план ответных оперативных мероприятий [в киберпространстве].
Во-вторых, обеспечение устойчивости экономики [при кибернападениях]. Для этого необходимо вести стратегическое планирование, способное обеспечить восстановление национальной экономики после кибератаки. Такое планирование является основой стратегического сдерживания.
В-третьих, сдерживание требует реформы государственных институтов. Необходимо расширить полномочия действующих учреждений, в функционал которых входит обеспечение безопасности в информационном пространстве, в частности, Агентства по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), а также создать соответствующие центры для координации действий в области кибербезопасности в органах исполнительной власти и Конгрессе.
В-четвертых, сдерживание потребует от частных компаний активизации и укрепления своих позиции в области информационной безопасности, поскольку бо́льшая часть критической инфраструктуры США принадлежит частному сектору. Компаниям рекомендуется сертифицировать информационную инфраструктуру. Также рекомендуется обновить требования к отчётности для корпораций в целях снижения их обременения и уменьшения объёмов передачи данных. В случае возникновения потенциальных угроз частные компании должны иметь возможность действовать оперативно, чтобы не дать злоумышленникам проникнуть в их сети.
В-пятых, необходимо продолжать эффективную политику привлечения финансирования для модернизации избирательной инфраструктуры как на государственном, так и на местном уровнях.
