Uitpakken van Biden’s nationale cyberbeveiligingsstrategie

Het uitpakken van Bidens nationale cyberbeveiligingsstrategie

Door Danny Bradbury • 2 maart 2023

De cybersecurity-inzet is groter dan ooit. De samenleving is zo diep verbonden en afhankelijk van digitale technologie dat een aanval die ernstig genoeg is, kritieke functies kan verlammen. De Amerikaanse regering is zich bewust van de dreiging en bereidt een document voor dat belooft het meest agressieve cyberveiligheidsstrategiedocument ooit te worden. Het heet de Nationale Cybersecurity Strategie (NCS) en is op het moment van schrijven nog steeds niet bekend, maar degenen die het gezien hebben beloven dat het de Amerikaanse cyberveiligheidscapaciteiten zal verbeteren. Dit is wat we weten en wat we kunnen verwachten.

Een geschiedenis van zacht cyberbeveiligingsbeleid

Tot de huidige regering hanteerde het Witte Huis een relatief luchtige aanpak bij het veiligstellen van kritieke nationale infrastructuur (CNI). Deze klasse van infrastructuur, die van vitaal belang wordt geacht voor het maatschappelijk functioneren, is veelomvattend 16 secties variërend van voedsel tot financiën.

Eerdere pogingen om het CNI te beschermen leken veel op dit segment van de economie zelf: gefragmenteerd en onsamenhangend. Eerdere regeringen hebben vrijwillige cyberbeveiligingsrichtlijnen voor CNI-sectoren uitgevaardigd, waardoor de toezichthouders robuustere cyberbeveiligingscontroles moesten ontwikkelen en afdwingen.

Sommige van deze controles zijn succesvoller geweest dan andere en worden vaak op staatsniveau opgelegd. Het New York Department of Financial Services (NYDFS) heeft bijvoorbeeld de Part 500-verordening uitgevaardigd, die in 2017 van kracht werd en een agressieve aanpak hanteerde bij de handhaving van cyberbeveiliging. De SEC heeft ook de cyberveiligheidscontroles opgevoerd.

Toch zijn andere sectoren minder agressief geweest. Gemeentelijke waterafdelingen hebben vaak geen expertise op het gebied van cyberbeveiliging. Bedrijven in andere sectoren die als onderdeel van de CNI worden beschouwd, hebben vaak concurrerende prioriteiten, zoals het op peil houden van de financiële prestaties op kwartaalbasis.

Zelfs vóór de ransomware-aanval van mei 2021 op de Colonial Pipeline, die de benzineprijzen in het oosten van de VS deed stijgen, was de regering-Biden al op weg naar een meer samenhangende, praktische benadering van de CNI-beveiliging. In april 2021 gaf zij het startsein voor een sectorgewijze evaluatie en verharding van de CNI met een honderddagenplan om de veiligheid onder de bevolking te vergroten. elektrische nutsvoorzieningen.

In juli van dat jaar volgde de president dit op door het National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems te ondertekenen, waarin hij beloofde de cyberveiligheidsbescherming in een reeks CNI-sectoren aan te pakken. De overheid uitgegeven substantiële cyberbeveiligingseisen voor exploitanten van olie- en gaspijpleidingen in mei en juli, aangekondigd het actieplan voor de watersector in januari 2022, en was gericht op de chemisch sector met een ander plan afgelopen oktober.

Deze maatregelen waren agressiever dan de pogingen van eerdere regeringen. Het legde verplichte maatregelen op, zoals het eisen van incidentresponsplannen. De uitvoerende macht werkte ook samen met het Congres om de Wet Melding Cyberincidenten Kritische Infrastructuur, die uiteindelijk een meldingsvenster voor cyberaanvallen van 72 uur voor CNI-operators zal afdwingen.

Degenen die het strategiedocument hebben gezien, geloven dat het deze aanpak zal verenigen en verdere maatregelen zal nemen om bedrijven in CNI-sectoren te dwingen hun verdediging te versterken. Het document zal oproepen tot het verschuiven van de aansprakelijkheid naar bedrijven die er niet in slagen passende maatregelen te implementeren.

Niet meer meneer Nice Guy

Het strategiedocument scherpt niet alleen defensieve maatregelen aan; het richt ook zijn aandacht naar buiten. Het omvat expliciete maatregelen om kwaadwillende actoren aan te vallen, zeggen degenen die het weten.

De Amerikaanse regering is steeds agressiever geworden in haar aanpak van bedreigingsactoren in cyberspace. De regering-Obama hield de offensieve cyberactiviteiten strak onder controle en vereiste expliciete presidentiële toestemming om online achter vijanden van de VS aan te gaan. De regering-Trump haalde in 2018 de voet van de rem, uitgevende Presidentieel Memorandum nr. 13 van de Nationale Veiligheid, dat het Pentagon meer autonomie gaf bij het lanceren van offensieve cyberoperaties.

Aanvankelijk onderzocht het Witte Huis van Biden of het een aantal maatregelen van Trump moest intrekken. Rapporten suggereren echter dat de Nationale Cybersecurity Strategie hen een stap verder zal brengen.

“Ons doel is om kwaadwillende actoren niet in staat te stellen aanhoudende cyber-enabled campagnes op te zetten die de nationale veiligheid of de openbare veiligheid van de Verenigde Staten zouden bedreigen”, aldus het document in een sectie van vijf pagina’s met de titel “Disrupt and Dismantle Threat Activity”. Er staat ook dat de National Cyber Investigative Joint Task Force van de FBI zal samenwerken met andere instanties om zich te bemoeien met de netwerken van aanvallers en deze uiteindelijk uit te schakelen.

Het afdwingen van wat gaat komen

De regering zal naar verluidt ook particuliere bedrijven inschakelen als partners in de strijd tegen aanvallers, en informatie over aanvalspatronen met hen delen. Deze partnerschappen, samen met de handhavingsmaatregelen die we waarschijnlijk in de NCS zullen zien, roepen een vraag op: in hoeverre zal de uitvoerende macht dit kunnen afdwingen?

Het meest baanbrekende document van de regering daarvoor, dat van mei 2021 Executive Order over het verbeteren van de cyberbeveiliging van de natie, was beperkter van opzet omdat uitvoeringsbesluiten alleen van toepassing zijn op federale agentschappen. Elke druk die op de particuliere sector werd uitgeoefend, was indirect, via het opleggen van cyberveiligheidscontroles in het federale inkoopbeleid die naleving van de leveranciers vereisten.

Het nieuwe strategiedocument zal van toepassing zijn op een groot aantal particuliere bedrijven die van oudsher voorzichtig zijn geweest met de cyberbeveiligingsregelgeving van de overheid. Het delen van informatie is in het verleden bijvoorbeeld een controversieel punt geweest. Bedrijven maken zich zorgen over wettelijke aansprakelijkheid als ze de omvang en reikwijdte van de aanvallen aan de overheid bekendmaken.

Sommige van de sectoren die in de CNI zijn opgenomen, kunnen voor het Witte Huis juridisch moeilijk te reguleren zijn. Het zal de hulp nodig hebben van instanties en een diep verdeeld, disfunctioneel Congres dat problematisch zal blijken bij het doorvoeren van verstandige wetten. We zullen meer weten als het document verschijnt, wat zeer binnenkort zou moeten zijn.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury