„VAŠINGTONAS – Bideno administracija pareiškė, kad imsis įstatymų, nustatančių atsakomybę programinės įrangos įmonėms, parduodančioms technologijas, kurioms trūksta kibernetinio saugumo apsaugos, ir padarė išvadą, kad vien rinkos jėgų nepakanka apsaugoti vartotojus ir tautą.
Remiantis ketvirtadienį paskelbta nacionalinės kibernetinio saugumo strategija, laisvoji rinka ir pasitikėjimas savanoriškomis saugumo sistemomis sukėlė „neadekvačiai mažai išlaidų“ įmonėms, siūlančioms nesaugius produktus ar paslaugas. Jame teigiama, kad administracija bendradarbiaus su Kongresu ir privačiu sektoriumi, siekdama nustatyti atsakomybę teisme programinės įrangos pardavėjams, bendrai nubrėždama, ką tokie teisės aktai turėtų apimti.
„Turime pradėti perkelti atsakomybę teisme tiems subjektams, kurie nesiima pagrįstų atsargumo priemonių savo programinei įrangai apsaugoti, kartu pripažindami, kad net pažangiausios programinės įrangos saugos programos negali užkirsti kelio visiems pažeidžiamumo atvejams“, – sakoma 35 puslapių strategijoje, tarpžinybiniame produkte, kurį išleido Nacionalinio kibernetinio direktoriaus biuras, kuris yra prezidento vykdomosios įstaigos dalis. Ketvirtadienio strategijoje taip pat pasisakoma už platesnės kibernetinio saugumo taisyklių sistemos kūrimą, siekiant apsaugoti svarbiausią šalies infrastruktūrą – tokią kategoriją, kuri apima energijos operatorius, ligonines ir bankus ir kt.
Bet koks administracijos remiamas teisės aktas turėtų neleisti programinės įrangos gamintojams išvengti teisinės atsakomybės pagal sutartį ir sukurti aukštesnius programinės įrangos standartus konkrečiose didelės rizikos situacijose, teigiama strategijoje. Administracija sieks sukurti besivystančią saugaus uosto sistemą – pasiskolinant iš dabartinės geriausios saugios programinės įrangos praktikos, kad apsaugotų įmones nuo atsakomybės.
Toks programinės įrangos atsakomybės skatinimas, jei būtų sėkmingas, pakeistų nacionalinę kibernetinio saugumo politiką JAV po to, kai kelios demokratų ir respublikonų administracijos palankiai įvertino metodą, kuris daugiausia priklausė nuo programinės įrangos pardavėjų ir kitų įmonių, kurios savanoriškai valdo savo kibernetinį saugumą. Prezidentas Bidenas pasirašytame motyvaciniame laiške teigė, kad strategija „priima sisteminį iššūkį, kad per daug atsakomybės už kibernetinį saugumą tenka atskiriems vartotojams ir mažoms organizacijoms“.
Didžiosios programinės įrangos kompanijos „gali ir turėtų prisiimti didesnę kibernetinės rizikos dalį“, per žiniasklaidos pranešimą sakė Kemba Waldenas, laikinai einantis nacionalinio kibernetinio direktoriaus pareigas. Pareigūnų ir ekspertų teigimu, plačiai naudojamos programinės įrangos įsilaužimai gali būti niokojantys ir toli siekiantys, pavyzdžiui, 2021 m. Kinijos tariama kibernetinė ataka prieš „Microsoft“ el. pašto programinę įrangą, dėl kurios šimtai tūkstančių daugiausia mažų įmonių ir organizacijų tapo pažeidžiamos įsibrovimui.
Jau daugiau, nei dešimtmetį, abiejų partijų įstatymų leidėjai siekė nustatyti tam tikrus kibernetinio saugumo reikalavimus įmonėms, tačiau teisės aktų leidybos pastangos paprastai žlugo dėl verslo interesų pasipriešinimo, kuris dažnai tvirtindavo, kad tokie reikalavimai būtų sudėtingi ir brangūs, taip pat slopintų naujoves.
„Įmonių programinės įrangos gamintojai rimtai žiūri į savo įsipareigojimus klientams ir visuomenei ir nuolat tobulina savo produktų saugumą, kad atitiktų naujas grėsmes“, – BSA prezidentė Victoria Espinel | Prekybos grupė „Software Alliance“ teigė pranešime apie strategiją. Ponia Espinel sakė, kad dokumentas siūlo „apgalvotą kelią“ pramonės ir vyriausybės bendradarbiavimui.
Vyresnysis administracijos pareigūnas teigė, kad atsakomybės skatinimas yra „ilgalaikis procesas“, kuriam gali prireikti daug metų. „Mes nesitikime, kad per ateinančius metus bus priimtas naujas įstatymas“, – sakė pareigūnas.
Strategijoje siūloma blaiviai įvertinti didėjančią saugumo riziką, susijusią su spartėjančia skaitmeninės ir fizinės realybės integracija į kiekvieną kasdienio gyvenimo, verslo ir komercijos aspektą, kuris apibrėžė XXI amžių – ši tendencija, kaip teigiama, nesaugių technologijų problemą pavertė problematiška ir skubiu nacionaliniu prioritetu.
Plane ne tik raginama išplėsti atsakomybę, bet ir pakartojami keli prioritetai, kuriuos dažnai išvardija įvairūs aukšto rango kibernetinio saugumo pareigūnai, pavyzdžiui, raginimas daugiau bendradarbiauti ir dalytis žvalgybos informacija apie grėsmes su privačiu sektoriumi, užmegzti tarptautines partnerystes, kuriant kibernetines normas, ir federalinių technologijų modernizavimas.“ [1]
1. U.S. News: U.S. Targets Firms on Cyber Risk --- Administration wants software developers liable for products that lack protections
Volz, Dustin. Wall Street Journal, Eastern edition; New York, N.Y. [New York, N.Y]. 03 Mar 2023: A.6.
Komentarų nėra:
Rašyti komentarą