ホワイトハウスは金曜日に国家サイバー戦略を発表し、トランプ政権の任期中のサイバーセキュリティ目標を概説した。
この4ページの文書は、犯罪ネットワークと敵対的政府に対してより多くの攻撃的サイバー行動を取ることを呼びかけている。また、サイバーセキュリティに関する規制を削減し、連邦ネットワークと重要インフラをより適切に保護し、AI革新におけるセキュリティの焦点化、およびサイバー人材育成のパイロットプログラムの創設を約束している。
「われわれはネットワークを解体し、ハッカーとスパイを追跡し、無法な外国のハッキング企業に制裁を加える」と戦略は述べ、「オンラインスパイ行為、破壊的なプロパガンダと影響力作戦、および文化的破壊を明らかにし、恥をかかせる」ことを約束している。
月曜日のUSTelecomサイバーセキュリティイノベーションフォーラムで、全国サイバーディレクターのショーン・ケアンクロスは、文書に概説されている国家主体ならびにサイバー犯罪者に「コストを課す」という約束を改めて述べた。彼は、米国のサイバー敵対者が「彼らの行動の結果を感じており、ますます感じるであろう」と警告した。
この計画は、その短さと詳細の欠如について疑問を呈した下院議員からの反発に直面した。バイデン政権が2023年に発表したサイバー戦略は35ページの長さであり、対応する実装文書を含んでいた。
下院議員ベニー・トンプソン(D-MS)、国土安全保障委員会のランキングメンバーは、この戦略を批判し、「この政権が自らに設定してきた劣悪な基準からしても、印象的なほど成果が不足している」と呼んだ。
「このパンフレットに存在する『実質』の唯一のものは、曖昧な決まり文句のぎっしり詰まった寄せ集めであり、政権の現在の行動と一致する可能性があるおよびない『われわれは~する』という長い声明リスト、そして幸いなことに、バイデン時代の政策のいくつかの明らかな延長である」とトンプソンは述べた。
「完全に不足しているのは、政権がそのサイバーセキュリティ目標のいずれかを達成する方法についての最も基本的な青写真でさえある――この目的は、トランプが就任以来、すべての連邦機関全体にわたるサイバー人材の流出によって妨げられている可能性がある。」
トンプソンのスポークスマンは、ホワイトハウスがより詳細な長い文書の発表を計画しているかどうかは不明であると述べた。
この文書は、トランプ政権の最近の攻撃的なサイバー成功も称賛した――カンボジア詐欺企業プリンスグループからの150億ドル相当のビットコイン押収およびフォーマー・ベネズエラ大統領ニコラス・マドゥーロを逮捕するための軍事作戦中に取られた、と称される攻撃的サイバー行動を含む。
パイロットプログラムと規制の調和
月曜日のフォーラムで、ケアンクロスは戦略で概説されたイニシアチブを制定する努力として、いくつかのパイロットプログラムが開始されると述べた。
文書のセクションは連邦政府の防御を強化することに焦点を当てており、ケアンクロスは新しいサイバーセキュリティ技術をより迅速に展開する省庁間プログラムの展開を計画していると説明した。
民間セクターにも、米国政府の防御的および攻撃的サイバー操作と並んで敵のネットワークを特定し、破壊するための「インセンティブ」が与えられるであろう。
「サイバースペースの防御と自由の保護は集団的な努力である――コストと責任の分配は、米国と民主的価値を共有する同盟国全体で公正でなければならない」と戦略は説明した。「われわれは、われわれに危害を加えようとする敵に対して真のリスクを作成し、われわれに対して行動する者に対して結果を課すために、協力して取り組むであろう。」
この計画は「重い負担であり効果のない規制を削除」し、「古いインフラが革新を阻害しないように情報システムを最新化する」であろう。
サイバー防御は「準備、行動、および対応を遅延させるコストのかかるチェックリストに減らされるべきではない」と戦略は述べた。
月曜日に、ケアンクロスはSEC開示ルール(公開企業にサイバー事件の発見後4営業日以内にサイバー事件を開示することを要求)および重要インフラのためのサイバー事件報告法(CIRCIA)対象となる規制として、対処する必要があるとして、強調した。
「CIRCIAについてはその意図が議会の意図を満たしていることを確認しようとしている。SEC開示ルールが業界にとって意味があり、実用的であることを確認するために取り組んでいる」と彼は述べた。
「われわれは業界にコンプライアンスチェックリストを押し付けようとしていないので、政府が本質的に責任転嫁して『まあ、お前は十分にしなかった』と言うことができる」と彼は追加した。「われわれは『外国の敵と犯罪者から業界をより適切に保護するために何をする必要があるのか、そして業界が対応するための空間をどのように作成できるのか』と言うために、一緒に取り組むことを模索している。」
ケアンクロスは、規制上の負担を減らす計画がある一方で、民間セクターがサイバーセキュリティをCEOとボードルームレベルに昇格させることを期待していると述べた。連邦政府はまた、「政府のリーダーシップにおけるサイバーの重要性を高める」ために、ポスト量子暗号化とAI駆動のサイバーセキュリティソリューションを連邦システム防御に展開することで、その部分を実行するであろう。
その防御は、その多くが民間で所有されている国の重要インフラに拡張されている。戦略は、「敵対的ベンダーと製品から離れ、米国技術の推進と使用」への「移行」を呼びかけている。
ケアンクロスはまた、米国政府が水、農業、田舎の病院など、重要インフラセクターのための州固有のパイロットプログラムを開始する計画をしていると述べた。
戦略のもう一つの焦点は、AIモデルとデータセンターを含む人工知能技術スタックの保護であるが、計画はそうするために何らかの措置が取られるのかについて詳細を提供しなかった。
ケアンクロスはバイデン時代の「セキュア・バイ・デザイン」の取り組みを示唆し、人工知能企業がモデルとAIシステムを構築する際に、サイバーセキュリティ基準のベースラインを備えて運営することを推し進めるであろう。彼は、どの基準がベースラインとして機能するのか、またはそれがどのようにして見えるのかについては述べなかった。
この計画はまた、才能をより適切に開発するサイバーセキュリティ労働力パイプラインを呼びかけている。ケアンクロスは、サイバーアカデミーアクセラレーターを作成するであろう省庁間プログラムをまとめていると述べた。
「このアカデミーは、現在政府内のすべての既存サイバープログラムを、統一された戦略の下で、結びつけ、民間資本でそれをハーネスとスケールさせるであろう」と彼は述べた。
11月に、ケアンクロスは述べた国家サイバー戦略は、行動項目と成果物を概説する文書と一緒になるであろうが、それがいつ発表されるのかは不明であった。
バイデン政権の国家サイバー戦略は2023年に行動計画およびイニシアチブが米国政府全体でどのように資金調達されるのかを説明する予算文書と一緒に来た。
翻訳元: https://therecord.media/trump-cyber-strategy-released-regulations
