אסטרטגיית אבטחת הסייבר של ממשל ביידן – האומנם יש חדש תחת השמש?

בתחילת חודש מרץ 2023 פרסם ממשל ג'ו ביידן את אסטרטגיית אבטחת הסייבר הלאומית שלה ציפו זמן רב גורמים שונים בענף הסייבר בארה"ב. אמנם, האסטרטגיה אינה מהווה דירקטיבה מחייבת, והקונספטים והמוצגים בה אינם מהפכניים. עם זאת, היא מבטאת את שאיפת הבית הלבן לקדם מאמץ פרו-אקטיבי ומרוכז יותר מאשר בעבר, במטרה לשפר את הגנת הסייבר הלאומית, ולצורך כך מבקש הממשל לרתום לצידו באופן רשמי את כלל הגורמים מהמגזר הממשלתי, מהמגזר הפרטי מהחברה האזרחית ומבעלות בריתה של ארה"ב.
האסטרטגיה ראתה אור על רקע לוחמת הסייבר המתנהלת כחלק מהמלחמה באוקראינה ולנוכח האסרטיביות הגדלה של יריביה של ארה"ב במרחב הסייבר, בהן סין ורוסיה. המסמך כולל מספר עוגנים מרכזיים, דוגמת התמקדות בסיכול התקפות סייבר ומתקפות כופרה באמצעות מבצעי hunt forward ואמצעים נוספים, ניסוח נורמות התנהגות אחראית במרחב הסייבר, קידום ההשקעות בטכנולוגיות חדשות, כגון טכנולוגיית הבינה המלאכותית, צמצום הפער בכוח האדם במקצועות הסייבר ברחבי המדינה, עידוד המעבר של סוכנויות ממשל והמגזר הפרטי לפתרונות הצפנה-פוסט קוונטית, ועוד.

"חידוש חשוב נוסף שבא לידי ביטוי באסטרטגיה הוא הכוונה להעביר חלק מהאחריות לצמצום איומי סייבר מיחידים וארגונים קטנים ובינוניים לארגונים גדולים ובעלי משאבים, שיכולים בסיכויים גבוהים יותר לתת מענה לאיומי סייבר"

לצד כל אלה ונושאים אחרים, עשויה האסטרטגיה לחדש בכך, שתוביל לשינוי מהמדיניות הקוראת לעמידה וולונטרית בדרישות אבטחת הסייבר, שהיוותה נר לרגלם של מקבלי ההחלטות בארה"ב בשנים האחרונות, לעבר הטמעת רגולציה מקיפה יותר, שתחייב ארגונים וחברות אמריקניים, במיוחד מענפי התשתיות החיוניות, לעמוד בדרישות אבטחת סייבר מינימליות. ממשל ביידן כבר החל בשנה האחרונה לקדם את ההטמעה של דרישות אבטחה בסיסיות בענפים ספציפיים (למשל, במגזר המים וענף אספקת החשמל), אך אפשר להניח, כי בעתיד הנראה לעין המגמה תגבר והרגולציה תתרחב לענפים נוספים מענפי התשתיות. על פי בכירי ממשל, סימנים ראשונים לכך כבר נראים בשטח, אף כי משרד ראש הסייבר הלאומי יפרסם תוכנית ליישום האסטרטגיה ככל הנראה רק בחודשי הקיץ.

העברת האחריות לארגונים גדולים

חידוש חשוב נוסף שבא לידי ביטוי באסטרטגיה הוא הכוונה להעביר חלק מהאחריות לצמצום איומי סייבר מיחידים וארגונים קטנים ובינוניים לארגונים גדולים ובעלי משאבים, שיכולים בסיכויים גבוהים יותר לתת מענה לאיומי סייבר. כחלק מכך, עשוי הממשל לגבש חקיקה, שתגדיר כלפי חברות מהמגזר הפרטי המייצרות ומשווקות מוצרי ושירותי תוכנה דרישות אבטחה מחייבות. אפשר כי במסגרתן יידרשו חברות התוכנה לשווק מוצרים על פי עקרונות האבטחה כברירת מחדל (secure by default) והפיתוח המאובטח (secure by design). את האחרון ניתן להקביל, למרות ההבדלים הרבים בין הענפים, לדרישה הקיימת מיצרניות כלי רכב להתקין חגורות בטיחות בכלי הרכב המשווקים על ידן.
בנוסף, הממשל עשוי להתקדם בגיבוש תוכנית, בשיתוף עם חברות הטכנולוגיה הגדולות, קמעונאים ואיגודי המסחר בארה"ב, שבמסגרתה תסומן ותדורג מידת אבטחת הסייבר של מכשירי IoT במטרה להעלות את מודעות הצרכנים לסיכוני סייבר.
בסיכומו של דבר, ישנם חסרונות פוטנציאליים לא מעטים העולים מהאסטרטגיה, כמו הגדלת הנטל הרגולטורי על המגזר הפרטי, שעלול להביא לפגיעה בפעילותו המסחרית, או האתגר של הממשל לשמור על פרטיות המידע וזכויותיהם של אזרחים אמריקנים. עם זאת, אפשר כי מדינות נוספות, בהן, למשל, אוסטרליה, השוקדת על ניסוח אסטרטגיית אבטחת סייבר משלה בימים אלה, יילכו בעקבות ארה"ב ויאמצו לפחות חלק מעקרונות האסטרטגיה בטווח הזמן הקרוב.

הכותב הוא דוקטורנט בביה"ס למדע המדינה וחוקר בתחום מדיניות הסייבר, סדנת יובל נאמן למדע, טכנולוגיה וביטחון, אוני' ת"א.