October 1, 2023

Национальная стратегия кибербезопасности США 

1 марта 2023 года

Цифровые технологии сегодня затрагивают почти каждый аспект американской жизни. Открытость и связь, обеспечиваемые доступом к Интернету, меняют правила игры для мирового сообщества, что все мы испытали во время пандемии COVID-19. Вот почему моя Администрация инвестирует 65 миллиардов долларов, чтобы быть полностью уверенными, что каждый американец имеет доступ к надежному высокоскоростному Интернету.

Когда мы берем в руки наши смартфоны, чтобы связаться с близкими, заходить в социальные сети, чтобы поделиться друг с другом нашими идеями, или подключаемся к Интернету, чтобы вести бизнес или обеспечивать любые наши потребности, мы должны безусловно доверять тому, что базовая цифровая экосистема безопасна. Эта национальная стратегия кибербезопасности подробно описывает комплексный подход, применяемый моей Администрацией для повышения безопасности киберпространства и обеспечения того, чтобы Соединенные Штаты находились в максимально выгодном положении для реализации всех преимуществ и потенциала нашего цифрового будущего.

Кибербезопасность необходима для базового функционирования нашей экономики, функционирования нашей критической инфраструктуры, прочности нашей демократии и демократических институтов, конфиденциальности наших данных и коммуникаций, а также нашей национальной обороны. С самого начала работы моей администрации мы решительно продвигались к укреплению кибербезопасности. Я назначил старших должностных лиц по кибербезопасности в Белом доме и издал Исполнительный указ о совершенствовании кибербезопасности страны. Работая в тесном сотрудничестве с частным сектором, моя администрация предприняла шаги, чтобы защитить американский народ от хакеров, привлечь к ответственности злоумышленников и киберпреступников и защититься от все более вредоносных кибератак, нацеленных на нашу безопасность и конфиденциальность. И мы работали с нашими союзниками и партнерами по всему миру, чтобы улучшить нашу способность коллективно защищаться от киберугроз со стороны авторитарных государств и реагировать на их действия, которые идут вразрез с нашими национальными интересами.

В этой стратегии признается, что прочное сотрудничество, особенно между государственным и частным секторами, имеет важное значение для обеспечения безопасности киберпространства. Это также связано с системной проблемой, заключающейся в том, что слишком большая часть ответственности за кибербезопасность легла на отдельных пользователей и небольшие организации. Работая в партнерстве с промышленностью, гражданским обществом и правительствами штатов, мы перераспределим ответственность за кибербезопасность, чтобы она была более эффективной и более справедливой. Мы перестроим стимулы в пользу долгосрочных инвестиций в безопасность, устойчивость и многообещающие перспективные технологии. Мы будем сотрудничать с нашими союзниками и партнерами, чтобы укрепить нормы ответственного поведения государств, привлечь авторитарные страны к ответственности за безответственное поведение в киберпространстве и разрушить сети преступников, стоящих за опасными кибератаками по всему миру. И мы будем работать с Конгрессом, чтобы предоставить ресурсы и инструменты, необходимые для обеспечения внедрения эффективных методов кибербезопасности во всей нашей наиболее важной инфраструктуре.

Как я часто говорил, наш мир находится на переломном этапе. Это справедливо и для цифровой сферы жизни. Шаги, которые мы предпринимаем, и выбор, который мы делаем сегодня, будут определять направление развития нашего мира на десятилетия.

Это особенно важно в виду того, как мы разрабатываем и применяем правила и нормы поведения в киберпространстве. Мы должны обеспечить условия, чтобы Интернет оставался открытым, свободным, глобальным, совместимым, надежным и безопасным - основанным на универсальных ценностях, которые уважают права человека и основные свободы.

Цифровое подключение должно быть инструментом, который возвышает и расширяет возможности людей повсюду, а не тем, который используется для подавления и принуждения. Как подробно описано в этой стратегии, США готовы бороться с этим явлением, идя в ногу с нашими ближайшими союзниками и работая с партнерами по всему миру, которые разделяют наше видение светлого цифрового будущего.

Президент США Дж.Байден

ВВЕДЕНИЕ

Интернет преобразил наш мир. За одно поколение это произвело революцию в том, как мы внедряем инновации, общаемся и обмениваемся информацией в глобальном масштабе, стимулируя беспрецедентный прогресс в человеческом процветании, равенстве и связности. На этой магистрали Интернета мы построили процветающую цифровую экосистему, объединяющую системы и технологии с нашей экономикой, нашими обществами и самими собой.

При этом цифровая экосистема стала отражать ценности ее создателей и пользователей. Технологии способствовали развитию демократии, свободы слова, инноваций и равенства. Но они также использовались не по назначению для обеспечения транснациональных репрессий и цифрового авторитаризма; кражи данных и интеллектуальной собственности; распространения дезинформации; разрушения критически важной инфраструктуры; распространения онлайн-преследований, эксплуатации и злоупотреблений; создания условий для преступников и поощрения насильственного экстремизма; и угрозы миру и стабильности. Люди и технологии становятся все более взаимосвязанными, что еще больше позволяет использовать как самое лучшее, так и самое худшее в человечестве.

В это решающее десятилетие у нас есть грандиозные амбиции относительно дальнейшего развития нашей цифровой экосистемы, основанного на наших ценностях.

Мы строим интеллектуальную сеть, работающую на распределенной возобновляемой электроэнергии и сбалансированную интеллектуальными системами, которая обещает светлое и устойчивое будущее изобилия энергии. Мы представляем себе развивающийся «Интернет вещей» (IoT), включающий в себя все - от потребительских товаров до оцифрованных промышленных систем управления и группировок спутников, - который повысит эффективность и безопасность, обеспечивая при этом кардинальные изменения в нашей окружающей среде и экономике. Мы закладываем основы глобального сотрудничества в режиме реального времени с использованием огромных объемов данных и вычислительной мощности, которые позволят сделать возможными научные открытия и другие общественные блага, о которых мы пока не можем себе представить.

Достижение этого видения процветающего, взаимосвязанного будущего будет зависеть от кибербезопасности и устойчивости лежащих в ее основе технологий и систем. Мы извлекли тяжелые уроки и добились значительного прогресса в совместной защите нашей цифровой экосистемы. Каждый день киберзащитники, поддерживаемые государством, предотвращают атаки и преступные заговоры по всему миру. Но лежащая в основе структурная динамика цифровой экосистемы может свести на нет их усилия. Ее компоненты по-прежнему подвержены сбоям, уязвимы для эксплуатации и часто используются злоумышленниками.

Мы должны внести фундаментальные изменения в основополагающую динамику цифровой экосистемы, передав преимущество ее защитникам и постоянно выводя из строя силы, которые могли бы ей угрожать. Наша цель - защищенная, устойчивая цифровая экосистема, в которой атака на ее составляющие обходится дороже, чем их защита, где конфиденциальная информация находится в безопасности и где ни инциденты, ни ошибки не приводят к катастрофическим системным последствиям. Создавая эти условия, мы можем и мы должны воспользоваться возможностью привить наши самые заветные ценности, воплощенные в Декларации за будущее Интернета (DFI) и Коалиции «Свобода онлайн».

Эта стратегия позволит Соединенным Штатам, их союзникам и партнерам совместно создавать эту цифровую экосистему, делая ее более простой и внутренне оправданной, устойчивой и соответствующей нашим ценностям. К концу этого решающего десятилетия мы добьёмся этих результатов, чтобы уверенно совершать смелые скачки в цифровое будущее, которое принесёт пользу всем нам.

Соединенные Штаты добились значительного прогресса в реализации позитивного видения будущего с цифровыми технологиями, но возникающие тенденции создают как новые возможности для дальнейшего продвижения, так и новые вызовы, которые необходимо преодолеть. Злоумышленники угрожают нашему стремлению к цифровой экосистеме, которая является инклюзивной, справедливой, способствует процветанию и соответствует нашим демократическим ценностям.

Мир вступает в новую фазу углубления цифровой зависимости. Движимые появляющимися технологиями и всё более сложными и взаимозависимыми системами, кардинальные изменения в предстоящем десятилетии откроют новые возможности для процветания человечества, одновременно умножая системные риски, создаваемые небезопасными системами.

Программное обеспечение и системы становятся всё более сложными, обеспечивая ценность для компаний и потребителей, но также повышая нашу коллективную незащищенность. Слишком часто мы накладываем новые функциональные возможности и технологии на и без того сложные и хрупкие системы в ущерб безопасности и отказоустойчивости. Широкое внедрение систем искусственного интеллекта, которые могут действовать неожиданным даже для их собственных создателей образом, увеличивает сложность и риски, связанные со многими из наших наиболее важных технологических систем.

Интернет продолжает объединять отдельных лиц, предприятия, сообщества и страны на общих платформах, которые обеспечивают масштабируемые бизнес-решения и международный обмен. Но эта ускоряющаяся глобальная взаимосвязанность также сопряжена с рисками. Атака на одну организацию, сектор или государство может быстро перекинуться на другие сектора и регионы, как это произошло во время кибератаки России «Not Petya» на Украину в 2017 году, которая распространилась по Европе, Азии и Северной и Южной Америке, причинив ущерб в миллиарды долларов. Потенциальный вес подобных атак будет только расти по мере увеличения взаимозависимости.

Цифровые технологии всё чаще затрагивают наиболее чувствительные аспекты нашей жизни, обеспечивая удобство, но также создавая новые, часто непредвиденные риски. Пандемия COVID-19 подтолкнула нас к тому, чтобы ещё глубже погрузиться в цифровой мир. По мере того, как наша жизнь переплетается с потоковым видео и аудио, носимыми устройствами и биометрическими технологиями, количество и конфиденциальность сбора персональных данных растут экспоненциально. Количество краж этих данных также быстро растёт и открывает новые возможности для злоумышленников следить за отдельными лицами, манипулировать ими и шантажировать их.

Взаимосвязанность следующего поколения разрушает границу между цифровым и физическим мирами и подвергает некоторые из наших наиболее важных систем сбоям. Наши заводы, электросети и водоочистные сооружения, среди прочей необходимой инфраструктуры, всё чаще отказываются от старых аналоговых систем управления и быстро внедряют цифровые операционные онлайн- технологии (OT). Передовые беспроводные технологии, IoT и космические средства, включая те, которые обеспечивают позиционирование, навигацию для гражданских и военных целей, мониторинг окружающей среды и погоды, а также повседневная деятельность через Интернет - от банковского дела до телемедицины - ускорят эту тенденцию - многие наши основные системы подключены к Сети и делают кибератаки по своей сути более разрушительными и влияющими на нашу повседневную жизнь.

Вредоносная киберактивность эволюционировала от искажения информации до шпионажа и кражи интеллектуальной собственности, от разрушительных атак на критически важную инфраструктуру до атак с использованием программ-вымогателей и кампаний влияния с использованием кибернетики, направленных на подрыв общественного доверия к основам нашей демократии. Некогда доступные лишь небольшому числу стран с богатыми ресурсами, агрессивные хакерские инструменты и сервисы, включая иностранные коммерческие шпионские программы, теперь широко доступны многим. Эти инструменты и услуги расширяют возможности стран, которые ранее не имели возможности нанести вред интересам США в киберпространстве и создают растущую угрозу со стороны организованных преступных синдикатов.

Правительства Китая, России, Ирана, Северной Кореи и других автократических государств с ревизионистскими намерениями агрессивно используют передовые кибернетические возможности для достижения целей, которые противоречат нашим интересам и общепринятым международным нормам. Их безрассудное пренебрежение к верховенству закона и правам человека в киберпространстве угрожает национальной безопасности и экономическому процветанию США.

Китайская Народная Республика в настоящее время представляет собой самую широкую, активную и наиболее стойкую угрозу для сетей государственного и частного секторов и является единственной страной, имеющей намерение изменить международный порядок используя для этого в большей степени экономическую, дипломатическую, военную и технологическую мощь. За последние десять лет она расширила масштабы киберопераций, выйдя за рамки кражи интеллектуальной собственности, и стала нашим самым основным стратегическим конкурентом, способным угрожать интересам США и доминировать в области современных технологий, имеющими решающее значение для глобального развития. Успешно использовав Интернет в качестве основы своих возможностей государственного наблюдения и влияния, КНР экспортирует свое видение цифрового авторитаризма, стремясь сформировать глобальный Интернет по своему образу и подобию и подвергая опасности права человека за пределами своих границ.

На протяжении более двух десятилетий российское правительство использовало свои кибернетические возможности для дестабилизации своих соседей и вмешательства во внутреннюю политику демократических стран по всему миру. Россия остается постоянной киберугрозой, поскольку она совершенствует свои возможности в области кибершпионажа, атак, влияния и дезинформации, чтобы принуждать суверенные страны, укрывать транснациональных преступных субъектов, ослаблять союзы США и партнерства и подрывать международную систему, основанную на правилах. Как и его атака «Not Petya» в 2017 году, Кибератаки России в поддержку ее жестокого и неспровоцированного вторжения в Украину в 2022 году привели к безответственному вторичному воздействию на гражданскую критическую инфраструктуру в других европейских странах.

Правительства Ирана и Корейской Народно-Демократической Республики (КНДР) также растут в своей изощренности и готовности вести вредоносную деятельность в киберпространстве. Иран использует кибервозможности для угроз союзникам США на Ближнем Востоке и в других странах, а КНДР ведет кибердеятельность для получения доходов от преступной деятельности, например, путем кражи криптовалюты, программ выкупа и размещения тайных работников информационных технологий (ИТ) для подпитки своих ядерных амбиций. Дальнейшее развитие этих возможностей может оказать значительное влияние на интересы США, союзников и партнеров.

Кибероперации преступных синдикатов в настоящее время представляют угрозу национальной безопасности, общественной безопасности и экономическому процветанию Соединенных Штатов и их союзников и партнеров. Инциденты с программами-вымогателями привели к сбоям в работе важнейших служб и предприятий по всей стране и по всему миру,от энергетических трубопроводов и предприятий пищевой промышленности до школ и больниц. Общие экономические потери от атак программ-вымогателей продолжают расти, достигая миллиардов долларов США ежегодно. Преступные синдикаты часто действуют за пределами государств, которые не сотрудничают с США. правоохранительные органы и часто поощряют, укрывают или терпимо относятся к такой деятельности. Эти и другие вредоносные действия в киберпространстве продолжают угрожать американцам по всему обществу, в том числе непропорционально затрагивая тех, у кого нет ресурсов, необходимых для самозащиты, восстановления или обращения за помощью.

Глубокое и долговременное сотрудничество между заинтересованными сторонами в рамках нашей цифровой экосистемы станет основой, на которой мы сделаем ее более защищенной, устойчивой и соответствующей американским ценностям. Эта стратегия направлена на построение и укрепление сотрудничества по пяти основным направлениям: (1) Защита критически важной инфраструктуры, (2) Разрушение и ликвидация субъектов угрозы, (3) Формирование рыночных сил для обеспечения безопасности и жизнестойкости, (4) Инвестиции в устойчивое будущее и (5) Налаживание международных партнерств для достижения общих целей. Каждое усилие требует беспрецедентного уровня сотрудничества между соответствующими сообществами заинтересованных сторон, включая государственный сектор, частную промышленность, гражданское общество и международных союзников и партнеров. Основные элементы, составляющие эту стратегию, формулируют видение общей цели и приоритетов для этих сообществ, подчеркивают проблемы, с которыми они сталкиваются при достижении этого видения, и определяют стратегические цели, вокруг которых следует организовать свои усилия.

Для реализации нашей стратегии, мы совершим два фундаментальных сдвига в том, как Соединенные Штаты распределяют роли, обязанности и ресурсы в киберпространстве. Осуществляя эти изменения, мы стремимся не просто улучшить нашу обороноспособность, но и изменить ту основополагающую динамику, которая в настоящее время противоречит нашим интересам.

Наиболее способные и занимающие наилучшие позиции участники киберпространства должны лучше управлять цифровой экосистемой. Сегодня конечные пользователи несут слишком большое бремя по снижению киберрисков. Частные лица, малые предприятия, органы государственной власти и местного самоуправления, а также операторы инфраструктуры имеют ограниченные ресурсы и конкурирующие приоритеты, однако выбор этих субъектов может оказать значительное влияние на нашу национальную кибербезопасность. Кратковременная ошибка в суждениях одного человека, использование устаревшего пароля или случайный переход по подозрительной ссылке не должны иметь последствий для национальной безопасности. Наша коллективная киберустойчивость не может полагаться на постоянную бдительность наших самых маленьких организаций и отдельных граждан.

Вместо этого, как в государственном, так и в частном секторах, мы должны привлекать больше наиболее способных и позиционированных участников, чтобы сделать нашу цифровую экосистему безопасной и устойчивой. В свободном и взаимосвязанном обществе защита данных и обеспечение надежности критически важных систем должны быть обязанностью владельцев и операторов систем, которые хранят наши данные и обеспечивают функционирование нашего общества, а также поставщиков технологий, которые создают и обслуживают эти системы. Роль правительства заключается в защите своих собственных систем; обеспечении защиты своих систем частными организациями, особенно критически важной инфраструктурой; и выполнении ключевых правительственных функций, таких как участие в дипломатии, сбор разведданных, установление экономических издержек, обеспечение соблюдения закона и проведение разрушительных действий для противодействия киберугрозам. Вместе промышленность и правительство должны добиваться эффективного и справедливого сотрудничество для исправления сбоев рынка, минимизации вреда от кибератак для наиболее уязвимых слоев общества и защиты нашей общей цифровой экосистемы.

Наша экономика и общество должны стимулировать принятие решений, чтобы сделать киберпространство более устойчивым и защищаемым в долгосрочной перспективе. Уравновесить краткосрочные императивы с долгосрочным видением будет непростой задачей. Мы должны защищать системы, которые у нас есть сейчас, одновременно инвестируя в будущую цифровую экосистему, которая по своей сути более защищена и устойчива, и создавая ее.

Эта стратегия описывает, как федеральное правительство будет использовать все доступные инструменты для изменения стимулов и достижения единства усилий на совместной, справедливой и взаимовыгодной основе. Мы должны гарантировать, что рыночные силы и государственные программы одинаково поощряют безопасность и устойчивость, создают надежную и разнообразную кибернетическую рабочую силу, учитывают безопасность и устойчивость при проектировании, стратегически координируют инвестиции в исследования и разработки в области кибербезопасности и способствуют совместному управлению нашей цифровой экосистемой. Для достижения этих целей федеральное правительство сосредоточит свое внимание на точках воздействия, где минимально инвазивные действия приведут к наибольшему повышению обороноспособности и системной устойчивости.

Федеральное правительство инвестирует в обновление нашей инфраструктуры, оцифровку и декарбонизацию наших энергетических систем, обеспечение безопасности наших цепочек поставок полупроводников, модернизацию наших криптографических технологий и обновление приоритетов нашей внешней и внутренней политики. У Соединенных Штатов есть возможность сбалансировать стимулы, необходимые для того, чтобы заложить более прочную и устойчивую основу, на которой можно строить будущее нашей цифровой экосистемы.

Эта стратегия, излагая новый подход к нашей кибербезопасности, основывается на значительных достижениях, уже формирующих нашу стратегическую среду и цифровую экосистему. В первые дни своего существования администрация Байдена-Харриса взяла на себя ответственность за устранение последствий компрометации Россией платформы SolarWinds Orion и компрометации КНР серверов под управлением Microsoft Exchange. Президент повысил руководящую роль Белого дома в области кибербезопасности, назначив опытные старшие руководители на новых должностях в Совете национальной безопасности (СНБ) и Офисе Национального директора по кибербезопасности (ONCD) и быстро перешли к использованию уроков, извлеченных из этих и других инцидентов, в действиях исполнительной власти.

Эти направленные вперед усилия заложили фундамент, на котором построена эта стратегия. Она была разработана наряду со Стратегией национальной безопасности и стратегией национальной обороны широким межведомственной группой и в ходе многомесячного процесса консультаций с частным сектором и гражданским обществом. Он опирается на ценности DFI, Коалиции "Свобода онлайн" и других давних усилий по реализации демократического видения нашей цифровой экосистемы и реализует их. Он продолжает основополагающее направление Исполнительного указа (EO) 14028 «Совершенствование кибербезопастности кибербезопасности страны», Меморандума о национальной безопасности (NSM) 5 «Совершенствование кибербезопасности для критически важных систем управления инфраструктурой», NSM 8, «Совершенствование кибербезопасности системы национальной безопасности, систем Министерства обороны (DoD) и разведывательного сообщества» и другие действия исполнительной власти. Он интегрирует кибербезопасность в новые инвестиции, которые делаются раз в поколение в соответствии с Двухпартийным законом об инфраструктуре, Законом о снижении инфляции, Законом о создании полезных стимулов для производства полупроводников (чипов) и Законом о науке и EO 14017 «Логистические системы Америки».

Эта стратегия также основывается на работе предыдущих администраций. Она заменяет Национальную кибер-стратегию 2018 года, но сохраняет динамику в отношении многих ее приоритетов, включая совместную защиту цифровой экосистемы. Администрация по-прежнему привержена повышению безопасности и отказоустойчивости космических систем США, в том числе путем реализации Директивы по космической политике 5 “Принципы кибербезопасности космических систем”. Администрация также продолжает предпринимать важнейшие усилия по внедрению безопасных технологий следующего поколения, в том числе в рамках Национальной инициативы по искусственному интеллекту и Национальной стратегии по обеспечению безопасности 5G, среди других существующих стратегий и инициатив.

Цели этой стратегии по обеспечению безопасности федеральных систем и сотрудничеству с частным сектором основаны на ЭО 13800 «Укрепление кибербезопасности федеральных сетей и критической инфраструктуры», ЭО 13691 «Содействие обмену информацией о кибербезопасности частного сектора» и ЭО 13636 «Совершенствование системы кибербезопасности критической инфраструктуры» и вписываются в рамки, установленные Президентской директивой 21 «Безопасность и устойчивость критической инфраструктуры» и Президентской директивой 41 «Координация киберинцидентов в Соединенных Штатах». Это развивает многие из стратегических усилий, первоначально инициированных Всеобъемлющей национальной инициативой по кибербезопасности 2008 года.

ПЕРВЫЙ КОМПОНЕНТ | ЗАЩИТА КРИТИЧЕСКИ ВАЖНОЙ ИНФРАСТРУКТУРЫ

Защита систем и активов, составляющих нашу критически важную инфраструктуру, жизненно важна для нашей национальной безопасности, общественного спокойствия и экономического процветания. Американский народ должен быть уверен в доступности и устойчивости этой инфраструктуры и основных услуг, которые она предоставляет. Мы стремимся ввести в действие устойчивую и эффективную модель совместной защиты, которая справедливо распределяет риски и ответственность и обеспечивает основополагающий уровень безопасности и устойчивости нашей цифровой экосистемы.

Сотрудничество в борьбе с продвинутыми угрозами будет эффективным только в том случае, если владельцы и операторы критической инфраструктуры будут иметь средства защиты от кибербезопасности, которые затруднят злоумышленникам их нарушение . Администрация установила новые требования к кибербезопасности в определенных критически важных секторах. В других секторах новые органы власти должны будут установить правила, которые могут способствовать более широкомасштабной практике обеспечения кибербезопасности. Эта администрация провела отраслевое взаимодействие с промышленностью, чтобы создать последовательные, предсказуемые нормативные рамки для кибербезопасности, которые фокусируются на достижении результатов в области безопасности и обеспечении непрерывности операций и функций, одновременно поощряя сотрудничество и инновации.

Организации частного сектора взяли на себя значительные обязательства по участию в совместных усилиях в области обороны.

Кампания “Защити себя”, предшествующая жестокой и неспровоцированной войне России с Украиной в 2022 году, направленная на активное повышение готовности и продвижение эффективных мер по борьбе со злонамеренной деятельностью, является примером сотрудничества государственного и частного секторов, которое необходимо расширять и повторять.

Мы должны создавать новые инновационные возможности, которые позволят владельцам и операторам критической инфраструктуры, федеральным агентствам, поставщикам продуктов и услуг и другим заинтересованным сторонам эффективно сотрудничать друг с другом в быстром и масштабном режиме. Федеральные агентства, оказывающие поддержку поставщикам критической инфраструктуры, должны расширять свои собственные возможности и способность сотрудничать с другими федеральными субъектами. Когда происходят инциденты, федеральные усилия по реагированию должны быть скоординированы и тесно интегрированы с частным сектором и государственными, местными, племенными и территориальными партнерами (SLTT).

Наконец, федеральное правительство может лучше поддерживать защиту критически важной инфраструктуры, сделав свои собственные системы более защищенными и устойчивыми. Эта администрация привержена улучшению федеральной кибербезопасности посредством долгосрочных усилий по внедрению стратегии архитектуры нулевого доверия и модернизации ИТ-инфраструктуры и ОТ. При этом федеральная служба кибербезопасности может стать моделью для критической инфраструктуры по всей территории Соединенных Штатов, показывающей, как успешно создавать и эксплуатировать безопасные и устойчивые системы.

Американский народ должен быть уверен в важнейших услугах, лежащих в основе его жизни и национальной экономики. В то время как добровольные подходы к обеспечению кибербезопасности критически важной инфраструктуры привели к значимым улучшениям, отсутствие обязательных требований привело к неадекватным и непоследовательным результатам. Современный рынок недостаточно вознаграждает - и часто ставит в невыгодное положение - владельцев и операторов критически важной инфраструктуры, которые инвестируют в упреждающие меры по предотвращению или смягчению последствий киберинцидентов.

Регулирование может выровнять условия игры, обеспечивая здоровую конкуренцию без ущерба для кибербезопасности или операционной устойчивости. Наша стратегическая среда требует современных и гибких нормативных рамок кибербезопасности, адаптированных к профилю рисков каждого сектора, согласованных для сокращения дублирования, дополняющих сотрудничество между государственным и частным секторами и учитывающих стоимость внедрения. Новые и обновленные правила кибербезопасности должны быть откалиброваны в соответствии с потребностями национальной и общественной безопасности, в дополнение к безопасности отдельных лиц, регулируемых организаций и их сотрудников, клиентов, операций и данных.

Администрация добилась прогресса в этой области, установив требования к кибербезопасности в ключевых секторах, таких как нефте- и газопроводы, авиация и железные дороги, во главе с Администрацией транспортной безопасности и системами водоснабжения, во главе с Агентством по охране окружающей среды. Процесс сотрудничества между отраслью и регулирующими органами позволит выработать нормативные требования, которые являются оперативными и коммерчески жизнеспособными и обеспечат безопасную и отказоустойчивую эксплуатацию критически важной инфраструктуры. Наиболее эффективными и действенными нормативными рамками будут те, которые будут созданы задолго до кризиса, а не путем введения чрезвычайных правил после возникновения кризиса.

Федеральное правительство будет использовать существующие органы власти для установления необходимых требований к кибербезопасности в критически важных секторах. Там, где федеральные департаменты и агентства имеют пробелы в установленных законом полномочиях по внедрению минимальных требований кибербезопасности или смягчению связанных с этим сбоев рынка, Администрация будет работать с Конгрессом, чтобы устранить их. Там, где государства или независимые регулирующие органы обладают полномочиями, которые могут быть использованы для установления требований кибербезопасности, Администрация будет поощрять их использовать эти полномочия преднамеренным и скоординированным образом.

Правила должны основываться на результатах, использовать существующие структуры кибербезопасности, добровольные согласованные стандарты и руководства, включая цели Агентства по кибербезопасности и инфраструктурной безопасности (CISA) по повышению эффективности кибербезопасности и Национального института стандартов и технологий (NIST) по улучшению кибербезопасности критической инфраструктуры, и быть достаточно гибкими, чтобы адаптироваться по мере того, как противники наращивают свои возможности и меняют тактику. Устанавливая правила кибербезопасности для критически важной инфраструктуры, регулирующим органам рекомендуется стимулировать внедрение безопасных принципы проектирования, приоритизации доступности основных служб и обеспечение того, чтобы системы были спроектированы таким образом, чтобы они безопасно выходили из строя и быстро восстанавливались. Правила будут определять минимальные ожидаемые методы обеспечения кибербезопасности или результаты, но Администрация поощряет и будет поддерживать дальнейшие усилия организаций по превышению этих требований.

Кроме того, эти и другие критически важные секторы полагаются на кибербезопасность и устойчивость своих сторонних поставщиков услуг. Облачные сервисы обеспечивают более эффективные и экономичные методы обеспечения кибербезопасности в широком масштабе, но они также необходимы для обеспечения операционной устойчивости во многих важнейших секторах инфраструктуры. Администрация выявит пробелы в полномочиях для внедрения более эффективных методов обеспечения кибербезопасности в индустрии облачных вычислений и для других важных сторонних сервисов и будет работать с промышленностью, Конгрессом и регулирующими органами, чтобы устранить их.

Эффективные нормативные акты сводят к минимуму затраты и бремя соблюдения требований, позволяя организациям инвестировать ресурсы в повышение устойчивости и защиту своих систем и активов. Используя существующие международные стандарты в соответствии с текущей политикой и законодательством, регулирующие органы могут свести к минимуму бремя уникальных требований и уменьшить потребность в гармонизации регулирования.

Там, где федеральные нормативные акты противоречат друг другу, дублируют друг друга или являются чрезмерно обременительными, регулирующие органы должны работать сообща, чтобы минимизировать этот вред. При необходимости Соединенные Штаты будут добиваться трансграничной гармонизации нормативных актов, чтобы требования кибербезопасности не препятствовали потокам цифровой торговли. Там, где это возможно, регулирующим органам следует работать над гармонизацией не только нормативных актов, но также оценок и аудитов регулируемых организаций. ONCD в координации с Управлением по вопросам управления и бюджета (OMB) будет руководить усилиями Администрации по гармонизации нормативных актов в области кибербезопасности. Совет по отчетности о киберинцидентах будет координировать, устранять конфликты и гармонизировать федеральные требования к отчетности об инцидентах.

Различные сектора критически важной инфраструктуры обладают различными возможностями для покрытия затрат на кибербезопасность, начиная от низкомаржинальных секторов, которые не могут легко увеличить инвестиции без вмешательства, до тех, где предельные затраты на улучшение кибербезопасности могут быть покрыты. В некоторых секторах регулирование может оказаться необходимым для создания равных условий игры, чтобы компании не оказались втянутыми в конкуренцию за то, чтобы занижать расходы своих коллег на кибербезопасность. В других секторах регулирующим органам рекомендуется гарантировать, что необходимые инвестиции в кибербезопасность стимулируются с помощью процесса установления ставок, налоговых структур или других механизмов. Устанавливая новые требования к кибербезопасности, регулирующим органам рекомендуется консультироваться с регулируемыми организациями, чтобы понять, как эти требования будут обеспечиваться ресурсами. В поисках нового регулирующего органа Администрация будет работать с Конгрессом над разработкой нормативно-правовой базы, учитывающей ресурсы, необходимые для их внедрения.ИЯ

Защита критически важной инфраструктуры от враждебной деятельности и других угроз требует модели киберзащиты, которая имитирует распределенную структуру Интернета. Мы реализуем эту распределенную, сетевую модель, развивая и укрепляя сотрудничество между правозащитниками посредством структурированных ролей и обязанностей и расширения возможностей подключения, обеспечиваемых автоматическим обменом данными, информацией и знаниями. Сочетание организационного сотрудничества итехнологиивключенное подключение создаст основанную на доверии “сеть сетей”, которая повышает ситуационнуюосведомленность и стимулирует коллективные и синхронизированные действия киберзащитников, защищающих нашукритически важную инфраструктуру.

CISA является национальным координатором по вопросам безопасности и жизнестойкости критически важной инфраструктуры. В этой роли CISA координирует работу с отраслевыми агентствами по управлению рисками (SRMA), чтобы позволить федеральному правительству расширить координацию с владельцами и операторами критически важной инфраструктуры по всей территории Соединенных Штатов. SRMA несут повседневную ответственность и обладают отраслевым опытом для повышения безопасности и устойчивости в своих секторах. В свою очередь, SRMA поддерживают отдельных владельцев и операторов в их соответствующих секторах, которые несут ответственность за защиту систем и активов, которыми они управляют. Организации по обмену информацией и анализу (ISAOs), отраслевые центры обмена информацией и анализа (ISACs) и аналогичные организации способствуют проведению операций по киберзащите в обширных и сложных секторах.

Федеральное правительство продолжит улучшать координацию между CISA и другими SRMA, инвестировать в развитие возможностей SRMA и иным образом предоставлять SRMA возможность активно реагировать на потребности владельцев и операторов критически важной инфраструктуры в своих секторах. Федеральное правительство будет сотрудничать с промышленностью для определения потребностей каждого сектора и оценки пробелов в текущих возможностях SRMA. Инвестиции федерального правительства в расширение возможностей SRMAS позволят повысить безопасность и устойчивость всей критически важной инфраструктуры. SRMA будут координировать свои действия с CISA, чтобы улучшить свою способность проявлять инициативу и реагировать на потребности своих секторов. SRMA также должны продолжать поддерживать развитие механизмов сотрудничества с третьими сторонами . Опираясь на многолетний опыт сотрудничества с ISACs и ISAOs, Федеральное правительство будет работать с этими и другими группами над выработкой общего видения того, как должна развиваться эта модель.

Ускорение оперативного сотрудничества потребует использования технологических решений для обмена информацией и координации оборонительных усилий. Мы должны дополнять усилия по сотрудничеству между людьми совместным использованием данных между машинами и обеспечением безопасности. Реализация этой модели обеспечит совместное использование в режиме реального времени, с возможностью принятия мер и в нескольких направлениях для управления реагированием на угрозы со скоростью машины. В партнерстве с частным сектором CISA и SRMAs изучат технические и организационные механизмы для улучшения и развития межмашинного обмена данными. Федеральное правительство также углубит оперативное и стратегическое сотрудничество с поставщиками программного обеспечения, аппаратных средств и управляемых услуг, обладающих способностью изменять киберпространство в пользу большей безопасности и устойчивости.

Федеральное правительство должно координировать полномочия и возможности департаментов и агентств, которые несут коллективную ответственность за поддержку защиты критически важной инфраструктуры. Федеральные центры кибербезопасности служат узлами сотрудничества, объединяющими общегосударственные возможности в рамках национальной обороны, правоохранительных органов, разведки, дипломатических, экономических и военных миссий. После полной интеграции они будут способствовать внутригосударственной координации и позволят Федеральному правительству эффективно и решительно поддерживать нефедеральных партнеров.

Администрация добилась прогресса в достижении этой цели, создав Совместное подразделение Cyber Defense Collaborative (JCDC) в CISA для интеграции планирования и операций в области киберзащиты в рамках Федерального

правительства, а также с частным сектором и международными партнерами; укрепив возможности Национальной объединенной целевой группы по расследованию киберпространств (NCIJTF) для координации правоохранительных органов и других действий по пресечению нарушений; и активизировав роль Центра интеграции информации о киберугрозах (CTIIC) в координации сбора разведданных, анализа и партнерских отношений.

Модели оперативного сотрудничества в SRMAs, такие как пилотный проект Центра анализа энергетических угроз Министерства энергетики (DOE) (ETAC), Среда совместного обмена информацией на базе

оборонно-промышленного потенциала Министерства обороны (DCISE) и Центра сотрудничества Агентства национальной безопасности (NSA) в области кибербезопасности (Collaboration Center), предоставляют возможности для обеспечения своевременного, действенного и релевантного обмена информацией непосредственно с партнерами из частного сектора в их соответствующих секторах.

Потребуются дальнейшие усилия для укрепления и интеграции оперативных возможностей федерального правительства и улучшения интеграции Федеральных центров кибербезопасности. ONCD возглавит усилия Администрации по улучшению интеграции таких центров, как эти, выявит пробелы в возможностях и разработает план внедрения, обеспечивающий быстрое и масштабное сотрудничество.

Частный сектор способен смягчить последствия большинства киберинцидентов без прямой федеральной помощи. Когда требуется федеральная помощь, федеральное правительство должно представить единую, скоординированную реакцию всего правительства. Организации, подвергшиеся киберугрозам, должны знать, к каким правительственным учреждениям обращаться с какими целями. Федеральное правительство должно предоставить четкие указания о том, как партнеры из частного сектора могут обращаться к федеральным агентствам за поддержкой во время киберинцидентов во время киберинцидентов и какие формы поддержки может предоставить федеральное правительство.

Соответствует Директиве Президента 41 «Координация киберинцидентов в Соединенных Штатах», которая определяет ведущие роли Министерства юстиции (DOJ), Министерства внутренней безопасности (DHS) и Офиса директора национальной разведки в деле обновления в подчинении Национальной системы кибер-реагирования на инциденты (NCIRP) для укрепления процессов, процедур и систем, чтобы более полно реализовать политику, «одного звонка». Если от любого Федерального агентства получается запрос на помощь, другие агентства будут знать, что может предпринять Федеральное Правительство, как

связаться с нужным федеральными агентствами, которые могут обеспечить такую поддержку, и как получить доступ к эффективным механизмам обмена информацией. Поскольку большинство ответных действий на федеральном уровне осуществляются через отделения на местах, NCIRP укрепит координацию на местном уровне, извлекая уроки из успехов Совместных целевых групп по борьбе с терроризмом.

Когда инциденты все же происходят, Закон об отчетности о киберинцидентах для критической инфраструктуры от 2022 года (CIRCIA) повысит нашу осведомленность и способность эффективно реагировать. CIRCA потребует, чтобы охваченные организации в секторах критической инфраструктуры сообщали о покрываемых киберинцидентах в CISA в течение часов. Эти своевременные уведомления и оперативный обмен CISA соответствующей информацией с Министерством юстиции и другими заинтересованными сторонами, занимающимися реагированием на инциденты, укрепят нашу коллективную защиту, улучшат усилия по выявлению коренных причин инцидентов и проинформируют органы власти о том, как реагировать. CISA будет консультироваться с SRMAs, Министерством юстиции и другими федеральными агентствами в ходе процесса разработки и внедрения правил CIRCIA для интеграции систем отчетности об инцидентах и обеспечения в режиме реального времени обмена всей соответствующей информацией об инцидентах и принятия мер.

После крупных инцидентов мы позаботимся о том, чтобы сообщество кибербезопасности извлекло пользу из уроков, извлеченных Советом по обзору кибербезопасности (CSRB). Учрежденный EO 14028 «Улучшение кибербезопасности страны», CSRB объединяет лидеров в области кибербезопасности государственного и частного секторов для рассмотрения крупных киберинцидентов, проведения авторитетного сбора фактов, получения информации, которая будет информировать и направлять отраслевые меры по исправлению положения в области кибербезопасности в стране в будущем, а также для предоставления рекомендаций по улучшению положения в области кибербезопасности в стране. Администрация будет работать с Конгрессом над принятием законодательства, кодифицирующего CSRB в DHS и предоставляющего ему полномочия, необходимые для проведения всесторонних проверок значительных инцидентов.

SФедеральное правительство нуждается в защищенной и устойчивой информации, коммуникациях и операционных технологиях и услугах для выполнения своих обязанностей. В первые месяцы, это ставит новые стратегические ориентиры Федерального кибербезопасности, издание

ЭО 14028, «совершенствование национальной кибербезопасности», который привел к освобождению НСМ 8, “совершенствование кибербезопасности национальной безопасности, Министерство обороны и разведывательное сообщество системах” и административно-бюджетном управлении Федерального ноль архитектура доверия стратегии.

Опираясь на этот импульс, Администрация будет предпринимать долгосрочные усилия по защите федерального предприятия и модернизации федеральных систем в соответствии с принципами нулевого доверия, которые признают, что угрозам необходимо противостоять как внутри, так и за пределами традиционных сетевых границ.

Агентства федеральной гражданской исполнительной власти (FCEB) отвечают за управление и безопасность своих собственных ИТ-систем и ОТ. В зависимости от различных агентских структур, миссий, возможностей и ресурсов, результаты обеспечения кибербезопасности FCEB различаются. Мы должны продолжать создавать модель федеральной кибербезопасности,

которая уравновешивает индивидуальные полномочия и возможности ведомств с преимуществами безопасности, получаемыми благодаря коллективному подходу к защите.

Мы будем продолжать укреплять федеральную сплоченность посредством целенаправленных действий всего федерального правительства.

OMB в координации с CISA разработает план действий по обеспечению безопасности систем FCEB посредством коллективной оперативной защиты, расширения доступности централизованных общих служб и снижения рисков в цепочке поставок программного обеспечения . Эти усилия будут основываться на предыдущих программах и определять приоритетность действий, которые продвигают общегосударственный подход к защите информационных систем FCEB. Программное обеспечение

цель снижения рисков в цепочке поставок, разработанная в координации с NIST, будет основываться на реализации EO 14028 “Повышение кибербезопасности страны”, включая усилия по составлению счетов за программное обеспечение материалов (SBOM), платформу разработки безопасного программного обеспечения NIST и связанные с ней усилия по повышению безопасности программного обеспечения с открытым исходным кодом.

Федеральное правительство должно заменить или обновить

ИТ-системы и ОТ-системы, которые не защищены от сложных киберугроз. Стратегия архитектуры OMB с нулевым доверием предписывает агентствам FCEB внедрять многофакторную аутентификацию, шифровать свои данные, получать представление обо всей поверхности атаки, управлять авторизацией и доступом, а также внедрять облачные средства безопасности. Эти и другие

цели кибербезопасности не могут быть достигнуты до тех пор, пока федеральные ИТ-системы и ОТ не будут модернизированы таким образом, чтобы онимогли использовать критически важные технологии безопасности. OMB возглавит разработку многолетнего план жизненного цикла по ускорению модернизации технологии FCEB, уделяя приоритетное внимание федеральным усилиям по устранению устаревших систем, обслуживание которых дорого и их трудно защитить. В плане будут определены этапы по удалению всех устаревших систем, неспособных реализовать нашу стратегию архитектуры нулевого доверия в течение десятилетия, или иным образом снизить риски для тех, которые не могут быть заменены в указанные сроки. Замена устаревших систем более безопасной технологией, в том числе посредством ускорение перехода на облачные сервисы повысит уровень кибербезопасности во всем федеральном правительстве и, в свою очередь, повысит безопасность и устойчивость цифровых сервисов, которые оно предоставляет американскому народу.

Системы национальной безопасности (СНБ) хранят и обрабатывают некоторые из наиболее конфиденциальных

данных федерального правительства и должны быть защищены от широкого спектра кибер- и физических угроз, включая внутренние угрозы, киберпреступников и наиболее изощренных противников национальных государств. Директор

АНБ, как Национальный менеджер по СНБ, будет координировать с OMB разработку плана для СНБ в агентствах FCEB, который обеспечивает выполнение повышенных требований к кибербезопасности NSM-8.

ВТОРОЙ КОМПОНЕНТ | РАЗРУШЕНИЕ И ЛИКВИДАЦИЯ УГРОЗЫ

Соединенные Штаты будут использовать все инструменты национальной власти, чтобы дезорганизовать и ликвидировать угрожающих субъектов , чьи действия угрожают нашим интересам. Эти усилия могут включать дипломатические, информационные, военные

(как кинетические, так и кибернетические), финансовые, разведывательные и правоохранительные возможности. Наша цель состоит в том, чтобы лишить злоумышленников возможности проводить длительные кампании с использованием кибератак, которые угрожали бы национальной или общественной безопасности Соединенных Штатов.

Скоординированные усилия федеральных и нефедеральных субъектов доказали свою эффективность в пресечении злонамеренной киберактивности иностранных правительственных, криминальных и других субъектов угрозы. Федеральное правительство увеличило свой потенциал реагирования на киберинциденты; арестовало и успешно привлекло к ответственности транснациональных киберпреступников и спонсируемых государством субъектов; ввело санкции в отношении злонамеренных киберпреступников, включая запреты на поездки и отказ в доступе к поставщикам денежных услуг; и лишилосубъектов, представляющих угрозу, доступа к цифровой инфраструктуре и сетям жертв. Федеральное правительство также нацелилось на финансовую инфраструктуру, используемую для незаконной деятельности; выдвинуло новые дипломатические инициативы, приписывающие подрывную, деструктивную или иным образом дестабилизирующую киберактивность, чтобы привлечь участников к ответственности за их злонамеренное поведение; и вернуло незаконно нажитые активы на миллиарды долларов.

Мы будем развивать эти успехи, чтобы обеспечить более устойчивое и эффективное уничтожение противников. Наши усилия потребуют более тесного сотрудничества партнеров из государственного и частного секторов для улучшения обмена разведданными, масштабного проведения кампаний по подрыву деятельности, отказа противникам в использовании американской инфраструктуры и срыва глобальных кампаний вымогателей.

SКампании по подрыву должны стать настолько устойчивыми и целенаправленными, чтобы преступная киберактивность стала невыгодной, а иностранные правительственные субъекты, занимающиеся вредоносной киберактивностью, больше не рассматривали ее как

эффективное средство достижения своих целей. Министерство юстиции Сша и другие федеральные правоохранительные органы

первыми внедрили интегрированное развертывание национальных правоохранительных органов с частным сектором и международными союзниками и партнерами для разрушения криминальной инфраструктуры и ресурсов онлайн, от уничтожения печально известных ботнетов до захвата криптовалюты, полученной в результате программ-вымогателей и мошеннических кампаний. Информация, полученная в результате этих расследований, позволяет предпринимать другие усилия, такие как уведомление жертв, выдача рекомендаций по кибербезопасности, действия частного сектора, назначение санкций, дипломатические действия и разведывательные операции.

Стратегический подход Министерства обороны к защите помог получить представление об исполнителях угроз, идентифицировать и разоблачать вредоносное ПО и пресекать вредоносную активность до того, как она сможет повлиять на намеченные цели. Опираясь на извлеченные уроки и быстро меняющуюся среду угроз, Министерство обороны разработает обновленную ведомственную киберстратегию, согласованную со Стратегией национальной безопасности,

Стратегия национальной обороны и эта Национальная стратегия кибербезопасности. Новая стратегия Министерства обороны разъяснит, как киберкомандование США и другие компоненты Министерства обороны будут интегрировать операции в киберпространстве в свои усилия по защите от государственных и негосударственных субъектов, способных представлять угрозы для интересов США стратегического уровня, продолжая при этом укреплять свою интеграцию и координацию операций с гражданскими, правоохранительными органами и разведывательными партнерами для пресечения широкомасштабной вредоносной деятельности.

Чтобы увеличить объем и скорость этих комплексных кампаний по пресечению деятельности, Федеральное правительство должно продолжать развивать технологические и организационные платформы, которые обеспечивают непрерывные, скоординированные операции. NCIJTF, как межведомственный координационный центр для координации общегосударственных кампаний по разрушению, расширит свои возможности по координации кампаний по демонтажу и

срыву с большей скоростью, масштабом и частотой. Аналогичным образом, Министерство обороны и Разведывательное

сообщество привержены задействованию всего спектра своих дополнительных полномочий в кампаниях по подрыву деятельности.

Частный сектор становится все более заметным в деятельности противника. Этот объем информации часто шире и детальнее, чем у федерального правительства, отчасти из-за огромного масштаба частного сектора и его операций по выявлению угроз, но также из-за быстрых темпов инноваций в инструментах и возможностях. Эффективное пресечение вредоносной киберактивности требует более регулярного сотрудничества между организациями частного сектора, обладающими уникальными знаниями и возможностями, и федеральными агентствами, имеющими средства и полномочия для действий. Ликвидация ботнета Emotet в 2021 году продемонстрировала потенциал этого совместного подхода, при котором федеральные агентства, международные союзники и партнеры, а также частная промышленность сотрудничают, чтобы нарушить работу ботнета. Учитывая заинтересованность сообщества кибербезопасности и владельцев и операторов цифровой инфраструктуры в продолжении этого подхода, мы должны поддерживать и расширять эту модель, чтобы совместные операции по разрушению могли осуществляться на постоянной основе.

Партнерам из частного сектора рекомендуется объединяться и организовывать свои усилия через одну или несколько некоммерческих организаций, которые могут служить центрами оперативного сотрудничества с Федеральным правительством, таких как Национальный альянс по кибер-криминалистике и обучению (NCFTA). Сотрудничество, связанное с конкретными угрозами, должно принимать форму гибких временных ячеек, состоящих из небольшого числа доверенных операторов, размещаемых и поддерживаемых соответствующим центром. Используя виртуальные платформы для совместной работы,члены ячейки могли бы обмениваться информацией в двух направлениях и быстро работать, чтобы обезвредить противников. Федеральное правительство быстро преодолеет препятствия для поддержки и использования этой модели сотрудничества, такие как требования к безопасности и политика управления документами.

Своевременный обмен информацией об угрозах между федеральными и нефедеральными партнерами усиливает совместные усилия по дезинформации противников. Разведданные о кибербезопасности с открытым исходным кодом

и поставщики разведданных из частного сектора значительно повысили коллективную осведомленность о киберугрозах, но национальная разведданная, которую может собирать только правительство, остается бесценной. Например, взаимодействие национального Центра сотрудничества в области кибербезопасности АНБ с промышленностью, основанное на разведданных, было весьма эффективным при пресечении действий противника, нацеленных на оборонно-промышленную базу. Аналогичным образом, CISA обеспечивает постоянный, разнонаправленный обмен информацией об угрозах с частным сектором через JCDC и, в координации с ФБР, использует эту информацию для ускорения уведомления жертв и снижения воздействия выявленных вторжений.

Федеральное правительство увеличит скорость и масштаб обмена разведданными сведениями о киберугрозах, чтобы заблаговременно предупреждать киберзащитников и уведомлять жертв, когда правительство располагает информацией о том, что организация активно подвергается нападкам или, возможно, уже скомпрометирована. SRMAS в координации с CISA, правоохранительными органами и CTIIC определят потребности и приоритеты в разведке в своем секторе и разработают процессы обмена предупреждениями, техническими индикаторами, контекстом угроз и другой соответствующей информацией как с правительственными, так и с неправительственными партнерами. Эти процессы должны обеспечить механизмы для частного сектора по предоставлению своевременной обратной связи и собственной информации об угрозах федеральному правительству для улучшения нацеливания на киберугрозы с целью их устранения и дальнейшего сбора разведданных. Федеральное правительство также пересмотрит политику и процессы рассекречивания, чтобы определить условия, при которых необходимо расширение дополнительного доступа к секретным данным и расширение разрешений для предоставления владельцам и операторам критически важной инфраструктуры оперативных разведданных.

Киберпреступники используют облачную инфраструктуру США, регистраторов доменов, поставщиков услуг хостинга и электронной почты

и другие цифровые сервисы для осуществления преступной деятельности, операций по оказанию вредоносного влияния и шпионажа против отдельных жертв, предприятий, правительств и других организаций в Соединенных

Штатах и за рубежом. Часто эти услуги предоставляются в аренду через иностранных реселлеров, которые имеют несколько степеней отделения от своих поставщиков в США, что ограничивает способность этих поставщиков

рассматривать жалобы на злоупотребления или реагировать на судебные процессы со стороны властей США. Федеральное правительство будет сотрудничать с поставщиками облачной и других интернет-инфраструктур, чтобы быстро выявлять злонамеренное использование инфраструктуры в США, делиться отчетами о злонамеренном использовании с правительством, чтобы жертвам было проще сообщать о злоупотреблениях этими системами и, в первую очередь, злоумышленникам было сложнее получить доступ к этим ресурсам.

Все поставщики услуг должны предпринимать разумные попытки обезопасить использование своей инфраструктуры от злоупотреблений или другого преступного поведения. Администрация будет уделять приоритетное внимание принятию и обеспечению применения

риск-ориентированного подхода к кибербезопасности среди поставщиков инфраструктуры как услуги, который учитывает известные методы и индикаторы вредоносной активности, в том числе посредством внедрения EO 13984 «Принятие дополнительных мер для решения чрезвычайной ситуации в стране в отношении значительных

вредоносных действий, связанных с киберпространством». Реализация этого приказа затруднит злоумышленникам злоупотребление инфраструктурой, базирующейся в США, при одновременной защите личной жизни.

Программы-вымогатели представляют угрозу национальной безопасности, общественному спокойствию и экономическому процветанию. Операторы программ-вымогателей нарушили работу больниц, школ, трубопроводов, государственных служб и другой критически важной инфраструктуры и важнейших сервисов. Действуя из безопасных убежищ, таких как Россия, Иран и Северная Корея, злоумышленники-вымогатели используют плохие методы обеспечения кибербезопасности, чтобы взять под контроль сети жертв и полагаются на криптовалюты для получения платежей за вымогательство и отмывания своих доходов.

Учитывая влияние программ-вымогателей на ключевые службы критической инфраструктуры, Соединенные Штаты будут использовать все

элементы национальной мощи для противодействия угрозе по четырем направлениям усилий: (1) использование международного сотрудничества для разрушения экосистемы программ-вымогателей и изоляции тех стран, которые предоставляют безопасные убежища преступникам; (2) расследование преступлений с использованием программ-вымогателей и использование правоохранительных

и других органов для разрушения инфраструктуры программ-вымогателей и участников; (3) укрепление критически важных устойчивость инфраструктуры к атакам программ-вымогателей; и (4) решение проблемы злоупотребления виртуальной валютой для отмывания платежей с целью получения выкупа.

Поскольку вымогательство является безграничной проблемой, требующей международного сотрудничества, Белый дом организовал Инициативу по борьбе с вымогательством (CRI) с участием более тридцати стран. CRI провел глобальные учения по повышению устойчивости и с января 2023 года создал международную целевую группу по борьбе с программами-вымогателями, возглавляемую Австралией, для обмена информацией об участниках и инфраструктуре, осуществляющих атаки с использованием программ-вымогателей, что поддержит и еще больше ускорит существующие, часто скоординированные усилия стран-членов CRI по устранению нарушений. CRI также будет способствовать синхронизации политических и дипломатических усилий всех своих членов.

Администрация намерена проводить кампании по устранению нарушений и другие усилия, которые настолько устойчивы, скоординированы и целенаправленны, что делают программы-вымогатели более не прибыльными. Объединенная целевая группа по борьбе с вымогательствами (JRTF), сопредседателями которой являются CISA и Федеральное бюро расследований (ФБР), будет координировать, устранять конфликты и синхронизировать существующие межведомственные усилия по пресечению операций программ-вымогателей и оказывать поддержку частному сектору и усилиям SLTT по усилению их защиты от

программ-вымогателей.

Наш подход также будет включать в себя нацеливание на незаконные криптовалютные биржи, на которые полагаются операторы

программ-вымогателей, и улучшение международного внедрения стандартов борьбы с незаконным финансированием виртуальных активов.

В долгосрочной перспективе Соединенные Штаты будут поддерживать внедрение международных стандартов во всем мире, чтобы уменьшить использование криптовалют для незаконной деятельности, которая подрывает наши национальные интересы, в рамках наших усилий по внедрению EO 14067 «Обеспечение ответственного развития цифровых активов».

В конечном счете, наиболее эффективным способом подорвать мотивацию этих преступных групп является уменьшение потенциальной прибыли. По этой причине Администрация настоятельно не рекомендует выплачивать выкупы. В то же время жертвы программ–вымогателей независимо от того, решат они заплатить выкуп или нет, должны сообщить об инциденте в правоохранительные органы и другие соответствующие учреждения. Эти отчеты расширяют возможности федерального правительства по оказанию поддержки жертвам, чтобы предотвратить дальнейшее использование криптовалюты для обхода контроля ПОД / ФТ и снижения вероятности того, что будущие атаки программ-вымогателей будут успешными.

ТРЕТИЙ КОМПОНЕНТ | ФОРМИРОВАИЕ РЫНОЧНЫХ СИЛ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И ЖИЗНЕСТОЙКОСТИ

Чтобы построить безопасное и устойчивое будущее, к которому мы стремимся, мы должны формировать рыночные силы таким образом, чтобы возложить ответственность на тех членов нашей цифровой экосистемы, которые лучше всего способны снизить риски. Мы перенесем последствия плохой кибербезопасности на наиболее уязвимых, сделав нашу цифровую экосистему более достойной доверия. В этих усилиях мы не будем подменять или умалять роль рынка, но продуктивно направим рыночные силы на поддержание жизнестойкости и безопасности нашей страны. Наша цель - современная цифровая экономика, которая продвигает методы, повышающие безопасность и устойчивость нашей цифровой экосистемы при сохранении инноваций и конкуренции.

Продолжающиеся сбои в работе критически важной инфраструктуры и кражи персональных данных ясно показывают, что одних только рыночных сил оказалось недостаточно для широкого внедрения передовых практик в области кибербезопасности и устойчивости. Слишком часто организации, которые предпочитают не инвестировать в кибербезопасность, негативно и несправедливо влияют на тех, кто это делает, часто непропорционально влияя на малый бизнес и наши наиболее уязвимые сообщества. В то время как рыночные силы остаются первым, наилучшим путем к гибкости и эффективности инновации, они недостаточно мобилизовали промышленность для того, чтобы расставить приоритеты в наших основных экономических интересах и интересах национальной безопасности.

Для решения этих проблем Администрация будет формировать долгосрочную безопасность и устойчивость цифровой экосистемы как к сегодняшним угрозам, так и к вызовам завтрашнего дня. Мы должны привлекать распорядителей наших данных к ответственности за защиту персональных данных; стимулировать разработку более безопасных подключенных устройств; и изменять законы, регулирующие ответственность за потерю данных и ущерб, причиненный ошибками кибербезопасности, уязвимостями программного обеспечения и другими рисками, создаваемыми программным обеспечением и цифровыми технологиями. Мы будем использовать федеральную покупательную способность и предоставление грантов для стимулирования безопасности. И мы изучим, как правительство может стабилизировать страховые рынки на случай катастрофических рисков, чтобы внедрять более эффективные методы обеспечения кибербезопасности и обеспечивать рыночную определенность при возникновении катастрофических событий.

Защита персональных данных является основополагающим аспектом защиты конфиденциальности потребителей в цифровом будущем. Технологии, основанные на данных, преобразили нашу экономику и обеспечивают удобство для потребителей. Но резкое распространение личной информации расширяет среду угроз и усиливает воздействие утечек данных на потребителей. Когда организации, располагающие данными о отдельных лицах, не выполняют функции ответственных распорядителей этими данными, они перекладывают расходы на плечи обычных американцев. Часто наибольший вред приходится на уязвимые группы населения, для которых риски, связанные с их личными данными, могут нанести непропорциональный ущерб.

Администрация поддерживает законодательные усилия по введению надежных, четких ограничений на возможность сбора, использования, передачи и хранения персональных данных и обеспечивает надежную защиту конфиденциальных данных, таких как геолокация и информация о здоровье. Это законодательство также должно устанавливать национальные требования по защите персональных данных в соответствии со стандартами и руководящими принципами, разработанными NIST. Обеспечивая требования к конфиденциальности , которые меняются вместе с угрозами, Соединенные Штаты могут проложить путь к более безопасному будущему.

Интернет-устройства (IoT), такие как фитнес-трекеры и радионяни, так и промышленные системы управления и датчики, представляют собой новые источники подключения в наших домах и на предприятиях. Однако многие из устройств Интернета Вещей, развернутых сегодня, недостаточно защищены от угроз кибербезопасности. Слишком часто они развертывались с неадекватными настройками по умолчанию, их трудно или невозможно исправить или обновить, или они оснащены расширенными и иногда ненужные — возможности, которые позволяют осуществлять вредоносную киберактивность в критически важных физических и цифровых системах. Недавние уязвимости Интернета вещей показали, насколько легко злоумышленники могут использовать эти устройства для создания ботнетов и ведения наблюдения.

Администрация продолжит улучшать кибербезопасность интернет-устройств посредством федеральных исследований и разработок (R & D), закупок и управления рисками, как указано в Законе об улучшении кибербезопасности Интернета вещей от 2020 года. Кроме того, Администрация продолжит продвигать разработку программ маркировки безопасности интернет-устройств, как указано в EO 14028 «Улучшение кибербезопасности страны». Благодаря расширению линейки защитных меток потребители смогут сравнить средства защиты, предлагаемые различными интернет-устройствами, создавая тем самым рыночный стимул для повышения безопасности во всей этой экосистеме.ГИ

Рынки налагают неадекватные издержки и часто вознаграждают те организации, которые внедряют уязвимые продукты или услуги в нашу цифровую экосистему. Слишком много поставщиков игнорируют рекомендации по безопасной разработке, поставляют продукты с небезопасными конфигурациями по умолчанию или известными уязвимостями и интегрируют стороннее программное обеспечение непроверенного или неизвестного происхождения. Производители программного обеспечения могут использовать свое положение на рынке для полного отказа от ответственности по контракту, что еще больше снижает их стимул следовать принципам безопасности при разработке или проводить предварительное тестирование. Низкая безопасность программного обеспечения значительно увеличивает системный риск во всей цифровой экосистеме и оставляет американских граждан нести конечные издержки.

Мы должны начать перекладывать ответственность на те организации, которые не принимают разумных мер предосторожности для защиты своего программного обеспечения, признавая при этом, что даже самые передовые программы обеспечения безопасности программного обеспечения не могут предотвратить все угрозы. Компании, создающие программное обеспечение, должны иметь свободу для инноваций, но они также должны нести ответственность, если они не выполняют свой долг по отношению к потребителям, предприятиям или поставщикам критически важной инфраструктуры. Ответственность должна быть возложена на заинтересованные стороны, наиболее способные предпринять действия для предотвращения плохих результатов, а не на конечных пользователей, которые часто несут на себе последствия небезопасного программного обеспечения, или на разработчика компонента с открытым исходным кодом, интегрированного в коммерческий продукт. Это подтолкнет рынок к производству более безопасных продуктов и услуг, сохраняя при этом инновации и способность стартапов и других малых и средних предприятий конкурировать с лидерами рынка.

Администрация будет работать с Конгрессом и частным сектором над разработкой законодательства, устанавливающего ответственность за программные продукты и услуги. Любое такое законодательство должно препятствовать производителям и издателям программного обеспечения, имеющим влияние на рынке, полностью отказываться от ответственности по контракту и устанавливать более высокие стандарты бережного отношения к программному обеспечению в конкретных сценариях высокого риска. Чтобы начать формировать стандарты заботы о безопасной разработке программного обеспечения, Администрация будет управлять разработка адаптируемой системы safe harbor для защиты от компаний с ограниченной ответственностью, которые надежно разрабатывают и поддерживают свои программные продукты и услуги. Эта безопасная гавань будет основана на современных лучших практиках безопасной разработки программного обеспечения, таких как платформа NIST Secure Software Development . Она также должна развиваться с течением времени, включая новые инструменты для безопасной разработки программного обеспечения, прозрачности программного обеспечения и обнаружения уязвимостей.

Для дальнейшего стимулирования внедрения методов разработки безопасного программного обеспечения Администрация

будет поощрять скоординированное раскрытие уязвимостей во всех типах технологий и секторах; содействовать дальнейшему развитию SBOM; и разработать процесс выявления и снижения риска, представляемого неподдерживаемым программным обеспечением, которое широко используется или поддерживает критическую инфраструктуру. В партнерстве с частным сектором и сообществом разработчиков программного обеспечения с открытым исходным кодом федеральный Правительство также продолжит инвестировать в разработку безопасного программного обеспечения, включая безопасные для памяти языки и методы разработки программного обеспечения, фреймворки и инструменты тестирования.

Федеральные грантовые программы предоставляют стратегические возможности для инвестирования в критически важную инфраструктуру, которая проектируется, разрабатывается, вводится в эксплуатацию и поддерживается с учетом кибербезопасности и устойчивости ко всем опасностям . Благодаря программам, финансируемым в соответствии с Двухпартийным законом об инфраструктуре, Законом о снижении инфляции и Законом о чипах и науке, Соединенные Штаты раз в поколение инвестируют в нашу инфраструктуру и цифровую экосистему, которая ее поддерживает. Эта администрация стремится осуществлять инвестиции таким образом, чтобы повысить нашу коллективную системную устойчивость.

Федеральное правительство будет сотрудничать с организациями SLTT, частным сектором и другими партнерами , чтобы сбалансировать требования к кибербезопасности для заявителей с технической помощью и другими формами поддержки. Вместе мы можем стимулировать инвестиции в критически важные продукты и услуги, которые являются безопасными и отказоустойчивыми по своей конструкции, а также поддерживать и стимулировать безопасность и отказоустойчивость на протяжении всего жизненного цикла критически важной инфраструктуры. Федеральное правительство также будет уделять приоритетное внимание финансированию программ исследований, разработок и демонстрации в области кибербезопасности (RD & D), направленных на укрепление кибербезопасности и устойчивости критической инфраструктуры. Кроме того, Администрация будет работать с Конгрессом над разработкой других механизмов стимулирования для масштабного внедрения более совершенных методов обеспечения кибербезопасности.ЕТНОСТЬ

Требования к заключению контрактов с поставщиками, которые осуществляют продажи федеральному правительству, были эффективным

инструментом повышения кибербезопасности. EO 14028 «Улучшение кибербезопасности страны» расширяет этот подход, гарантируя, что контрактные требования к кибербезопасности усилены и стандартизированы во всех федеральных агентствах. Продолжение апробации новых концепций установления, обеспечения соблюдения и

тестирования требований кибербезопасности посредством закупок может привести к появлению новых и масштабируемых подходов.

Когда компании берут на себя договорные обязательства следовать передовым практикам кибербезопасности перед федеральным правительством, они должны их выполнять. Гражданская инициатива по борьбе с кибермошенничеством (CCFI) использует органы Министерства юстиции в соответствии с Законом о ложных претензиях для возбуждения гражданских исков против государственных грантополучателей и подрядчиков, которые не выполняют обязательства по кибербезопасности. CCFI привлечет к ответственности организации или отдельных лиц, которые подвергают риску информацию или системы США, сознательно предоставляя недостоверные продукты или услуги кибербезопасности, сознательно искажающие их методы обеспечения кибербезопасности или протоколы, или сознательно нарушающие обязательства по мониторингу киберинцидентов и нарушений и сообщению о них.

Когда происходят катастрофические инциденты, правительство несет ответственность за стабилизацию экономики и обеспечение определенности в неопределенные времена. В случае катастрофического киберинцидента федеральное правительство может быть призвано стабилизировать экономику и помочь восстановлению. Структурирование этого реагирования до наступления катастрофического события — вместо того, чтобы спешно разрабатывать пакет помощи после

свершившегося факта — могло бы обеспечить определенность на рынках и сделать нацию более устойчивой. Администрация оценит необходимость и возможные структуры реагирования Федеральной страховой компании на катастрофические киберсобытия, которые поддержали бы существующий рынок киберстрахования. При разработке этой оценки Администрация будет запрашивать информацию у Конгресса, государственных регулирующих органов и заинтересованных сторон отрасли и консультироваться с ними.

ЧЕТВЕРТЫЙ КОМПОНЕНТ | ИНВЕСТИРУЙТЕ В

УСТОЙЧИВОЕ БУДУЩЕЕ

Устойчивое и процветающее цифровое будущее завтра начинается с инвестиций, сделанных сегодня. Мы можем создать более безопасную, устойчивую, обеспечивающую конфиденциальность и равноправную цифровую экосистему с помощью стратегических инвестиций и скоординированных совместных действий. Поступая таким образом, Соединенные Штаты сохранят свою ведущую роль ведущего мирового новатора в области безопасных и устойчивых технологий следующего поколения и инфраструктуры.

Основополагающие элементы нашей цифровой экосистемы, такие как Интернет, являются продуктами устойчивых и взаимоподдерживающих инвестиций как государственного, так и частного секторов. Однако государственные и частные инвестиции в кибербезопасность уже давно сопровождают угрозы и вызовы, с которыми мы сталкиваемся. По мере того, как мы создаем новое поколение цифровой инфраструктуры, от телекоммуникаций следующего поколения и интернета вещей до распределенных энергетических ресурсов, и готовимся к революционным изменениям в нашем технологическом ландшафте благодаря искусственному интеллекту и квантовым вычислениям необходимость устранения этого разрыва в инвестициях стала еще более острой.

Федеральное правительство должно использовать стратегические государственные инвестиции в инновации, НИОКР и образование для достижения экономически устойчивых результатов, отвечающих национальным интересам. Мы будем использовать Региональную программу инновационного развития Национального научного фонда (NSF), давнюю программу безопасного и заслуживающего доверия киберпространства; новые грантовые программы и возможности финансирования, предусмотренные Двухпартийным законом об инфраструктуре, Законом о снижении инфляции и Законом о чипах и науке; Производственные институты; и другие элементы Федерального

научно-исследовательского предприятия.

Эти инвестиции обеспечат сохранение лидерства США в области технологий и инноваций в рамках современной промышленной и инновационной стратегии. Десятилетия противников и злоумышленников, использующих наши технологии и инновации против нас — чтобы украсть нашу интеллектуальную собственность, вмешаться в наш избирательный процесс или повлиять на него и подорвать нашу национальную обороноспособность, — продемонстрировали, что лидерства в инновациях без безопасности недостаточно. Мы будем дополнять наши усилия, чтобы выйтивнедряйте инновации в другие страны с помощью целенаправленных, скоординированных действий по оптимизации критически важных и новых технологий для обеспечения кибербезопасности по мере их разработки и внедрения. Мы позаботимся о том, чтобы устойчивость была не необязательным элементом новых технических возможностей, а коммерчески жизнеспособным элементом процесса инноваций и внедрения.

Интернет имеет решающее значение для нашего будущего, но сохраняет фундаментальную структуру своего прошлого. Многие

технические основы цифровой экосистемы изначально уязвимы. Каждый раз, когда мы строим

что-то новое поверх этого фундамента, мы добавляем новые уязвимости и увеличиваем наш коллективные риски. Мы должны предпринять шаги для устранения наиболее неотложных из этих распространенных проблем, таких как уязвимости протокола пограничного шлюза, незашифрованные запросы системы доменных имен и медленное внедрение IPv6. Такие усилия по “очистке” для снижения системного риска требуют выявления наиболее насущных из этих проблем безопасности, дальнейшей разработки эффективных мер безопасности и тесного сотрудничества между государственным и частным секторами для снижения нашей подверженности риску без нарушения работы платформ и сервисов, построенных поверх этой инфраструктуры. Федеральное правительство будет руководить, гарантируя, что его сети внедрили эти и другие меры безопасности, в то же время сотрудничая с заинтересованными сторонами для разработки и стимулирования внедрения решений, которые улучшат безопасность интернет-экосистемы и поддержат исследования, направленные на понимание и устранение причин медленного внедрения.

Сохранение и расширение открытого, бесплатного, глобального, совместимого, надежного и безопасного Интернета требует постоянного участия в процессах разработки стандартов для привития наших ценностей и обеспечения того, чтобы технические стандарты создавали технологии, которые являются более безопасными и устойчивыми. Поскольку автократические режимы стремятся изменить Интернет и его основу с участием многих заинтересованных сторон, чтобы обеспечить государственный контроль, цензуру и слежку, Соединенные Штаты и их партнеры из иностранного и частного секторов будут внедрять многостороннюю стратегию по сохранению технического совершенства, защите нашей безопасности, стимулированию экономическая конкурентоспособность, содействие цифровой торговле и обеспечение того, чтобы “правила дорожного движения” для технологических стандартов поддерживали принципы прозрачности, открытости, консенсуса, актуальности и согласованности. Поддерживая неправительственные организации по разработке стандартов (SDO), Соединенные Штаты будут сотрудничать с лидерами отрасли, международными союзниками, академическими институтами, профессиональными сообществами, группами потребителей и некоммерческими организациями в целях обеспечения безопасности новых технологий, обеспечения функциональной совместимости, развития конкуренции на мировом рынке и защиты нашей национальной безопасности и экономических преимуществ.

YBERSECURITY

Благодаря усилиям федерального правительства по приоритизации исследований и разработок в области защищаемых и устойчивых

архитектур и снижению уязвимости базовых технологий мы можем гарантировать, что

технологии завтрашнего дня будут более безопасными, чем сегодняшние.

В рамках обновления Федерального стратегического плана исследований и разработок в области кибербезопасности федеральное правительство определит, расставит приоритеты и активизирует сообщество исследователей, разработчиков и демонстрационных разработок (RD & D) для активного предотвращения и смягчения рисков кибербезопасности в существующих технологиях и технологиях следующего поколения. Департаменты и агентства будут направлять проекты НИОКР для повышения кибербезопасности и устойчивости в таких областях, как искусственный интеллект, операционные технологии и промышленные системы управления, облачная инфраструктура, телекоммуникации, шифрование, прозрачность системы и анализ данных, используемые в критически важной инфраструктуре. Эти усилия будут поддерживаться Федеральным предприятием по НИОКР, включая NSF, DOE National Laboratories и другие центры исследований и разработок, финансируемые из федерального бюджета, а также посредством партнерских отношений с научными кругами, производителями, технологическими компаниями, владельцами и операторами.

Эти инвестиции в НИОКР будут направлены на обеспечение трех семейств технологий, которые окажутся решающими для лидерства США в предстоящем десятилетии: вычислительные технологии, включая микроэлектронику, квантовые информационные системы и искусственный интеллект; биотехнологии и биомоделирование; и технологии экологически чистой энергии. Эти усилия будут способствовать упреждающему выявлению потенциальных уязвимостей, а также проведению исследований по их устранению. Это также поддерживать более масштабную современную промышленную и инновационную стратегию для продвижения скоординированных и стратегических инноваций и создания рынков для заслуживающих доверия продуктов и услуг путем всестороннего использования федеральных инвестиционных механизмов, федеральной покупательной способности и федеральных нормативных актов.

Надежное шифрование является основой кибербезопасности и глобальной торговли. Это основной способ, с помощью которого мы защищаем наши данные онлайн, проверяем правильность конечных пользователей, удостоверяем подлинность подписей и удостоверяем точность информации. Но квантовые вычисления обладают потенциалом нарушить некоторые из самых распространенных стандартов шифрования, применяемых сегодня. Мы должны расставить приоритеты и ускорить инвестиции в повсеместную замену оборудования, программного обеспечения и сервисов, которые могут быть легко скомпрометированы квантовыми компьютерами, чтобы информация была защищена от будущих атак.

Чтобы сбалансировать продвижение квантовых вычислений с угрозами, создаваемыми цифровыми системами, NSM 10, “Способствующий лидерству Соединенных Штатов в области квантовых вычислений при одновременном снижении рисков для уязвимых криптографических систем”, устанавливает процесс своевременного перехода криптографических систем страны на совместимую криптографию с квантовой устойчивостью. Федеральное правительство будет уделять приоритетное внимание переходу уязвимых сетей и систем общего пользования на квантовыйустойчивые среды на основе криптографии и разработать дополнительные стратегии смягчения последствий для обеспечения криптографической гибкости перед лицом неизвестных будущих рисков. Частный сектор должен следовать модели правительства при подготовке своих собственных сетей и систем для нашего постквантового будущего.

Наш ускоряющийся национальный переход к экологически чистому энергетическому будущему запускает в эксплуатацию новое поколение взаимосвязанных аппаратных и программных систем, которые обладают потенциалом для повышения отказоустойчивости, безопасности и эффективности электросети США. Эти технологии, включая распределенные энергетические ресурсы, «умные» устройства генерации и хранения энергии, передовые облачные платформы управления сетями, а также сети передачи и распределения, предназначенные для управляемых нагрузок большой мощности, являются гораздо более сложными, автоматизированными и взаимосвязанными в цифровом виде, чем предыдущие поколения сетевых систем.

Поскольку Соединенные Штаты инвестируют в новую энергетическую инфраструктуру, администрация воспользуется этой стратегической возможностью для активного укрепления кибербезопасности путем реализации Национальной инженерной стратегии киберинформирования под руководством Конгресса, вместо того, чтобы разрабатывать систему контроля безопасности после того, как эти подключенные устройства будут широко развернуты. Администрация координирует работу заинтересованных сторон из федерального правительства, промышленности и SLTT по развертыванию безопасной, совместимой сети электромобилей. зарядные устройства, инфраструктура заправки топливом с нулевым уровнем выбросов, а также транзитные и школьные автобусы с нулевым уровнем выбросов. Лань, благодаря усилиям таких, как чистые энергии кибербезопасности акселератора (Сека) и двухпартийная инфраструктура-направленной энергии кибер смысл программы, и Национальной лаборатории ведут правительственные усилия для обеспечения чистой энергии энергосистемы будущего и формирования безопасности, лучшие практики, распространяться на другие важные инфраструктуры. Министерство сельского хозяйства также продолжит продвигать кибербезопасность для распределения электроэнергии и распределенных энергетических ресурсов в партнерстве с промышленностью, штатами, федеральными регулирующими органами, Конгрессом и другими агентствами.

Усовершенствованные решения и инфраструктура цифровой идентификации могут обеспечить более инновационную, справедливую, безопасную и эффективную цифровую экономику. Эти решения могут обеспечить более простой и безопасный доступ к государственным льготам и услугам, надежным коммуникациям и социальным сетям, а также новым возможностям для цифровых контрактов и платежных систем.

Сегодня отсутствие безопасных, сохраняющих конфиденциальность решений для цифровой идентификации на основе согласия позволяет мошенничеству процветать, увековечивает изоляцию и неравенство и добавляет неэффективности нашей финансовой деятельности и повседневной жизни. Растет число случаев кражи личных данных: в 2021 году от утечек данных пострадали почти 300 миллионов человек, а злоумышленники обманным путем получают миллиарды долларов в виде средств для оказания помощи в связи с пандемией COVID-19, предназначенных для нуждающихся малых предприятий и частных лиц. Эта вредоносная деятельность затрагивает всех нас, создавая значительные убытки для бизнеса и оказывая пагубное воздействие на программы общественного блага и тех американцев, которые ими пользуются. Действуя независимо, ни частный, ни государственный секторы не смогли решить эту проблему.

Федеральное правительство будет поощрять и разрешать инвестиции в надежные, поддающиеся проверке цифровые идентификационные решения, которые способствуют безопасности, доступности и интероперабельности, финансовой и социальной интеграции, конфиденциальности потребителей и экономическому росту. Опираясь на проводимую NIST программу исследований цифровой идентификации , утвержденную Законом о чипах и науке, эти усилия будут включать усиление безопасности цифровых учетных данных; предоставление услуг по проверке атрибутов и учетных данных; проведение фундаментальные исследования; обновление стандартов, руководств и процессов управления для поддержки согласованного использования и интероперабельности; и разработка платформ цифровой идентификации, которые способствуют прозрачности и измерению. Признавая, что государства внедряют лицензии мобильных водителей, мы отмечаем и призываем уделять особое внимание конфиденциальности, безопасности, гражданским свободам, равенству, доступности и функциональной совместимости.

Развивая эти возможности, наши политики и технологии цифровой идентификации будут защищать и укреплять частную жизнь личности, гражданские права и свободы; защищать от непреднамеренных последствий, предвзятости и потенциальных злоупотреблений; предоставлять возможность выбора поставщика и добровольного использования отдельными лицами; повышать безопасность

и функциональную совместимость; способствовать инклюзивности и доступности; а также повышать прозрачность и подотчетность при использовании технологий и данных отдельных лиц.

Сегодня по всей стране насчитываются сотни тысяч незаполненных вакансий на должности в сфере кибербезопасности,

и этот разрыв растет. Работодатели как из частного, так и из государственного секторов сталкиваются с трудностями при подборе, найме и удержании специалистов для заполнения этих вакансий, что негативно сказывается на нашей коллективной кибербезопасности. Чтобы решить эту проблему, ONCD будет руководить разработкой и контролировать реализацию Национальной стратегии в области кибернетической рабочей силы и образования.

В этой стратегии будет применен комплексный и скоординированный подход к расширению национальной кибернетической рабочей силы, повышению ее разнообразия и расширению доступа к системам киберобразования и профессиональной подготовки. Это удовлетворит потребность в экспертных знаниях в области кибербезопасности во всех секторах экономики, уделяя особое внимание критически важной инфраструктуре, и позволит американской рабочей силе продолжать внедрять инновации в безопасные и устойчивые технологии следующего поколения. Стратегия укрепит и диверсифицирует Федеральная кибернетическая рабочая сила, решающая уникальные задачи, с которыми сталкивается государственный сектор при наборе, удержании и развитии талантов и возможностей, необходимых для защиты федеральных данных и ИТ-инфраструктуры. Кроме того, в стратегии будет признано, что проблемы кибернетической рабочей силы характерны не только для Соединенных Штатов, расширяя и черпая вдохновение из усилий, предпринимаемых в других странах.

Стратегия будет основываться на существующих усилиях по развитию наших национальных кадров в области кибербезопасности, включая Национальную инициативу по образованию в области кибербезопасности (NICE), программу CyberCorps: Стипендии за службу, Национальные центры академического мастерства в области кибербезопасности, Программу обучения и помощи в области образования в области кибербезопасности, а также программу зарегистрированного ученичества. Стратегия также будет использовать текущие программы развития персонала в NSF и других научных агентствах для расширения программ федерального правительства.

Это позволит напрямую решить проблему отсутствия разнообразия в кибернетической рабочей силе. Работодатели нанимают из слишком небольшого числа талантливых людей и профессиональных сетей, которые не в состоянии использовать все разнообразие страны. Женщины, цветные люди, профессионалы первого поколения и иммигранты, люди с ограниченными возможностями и представители ЛГБТК + входят в число сообществ, которые недостаточно представлены в этой области. Устранение системного неравенства и преодоление барьеров, препятствующих разнообразию кибернетической рабочей силы, является как моральной необходимостью, так и стратегическим императивом.

Чтобы нанять и обучить следующее поколение специалистов по кибербезопасности для обеспечения безопасности нашей цифровой экосистемы, потребуется федеральное руководство и прочное партнерство между государственным и частным секторами. Создание и поддержание сильной кибернетической рабочей силы не может быть достигнуто, если карьера в области кибербезопасности не находится в пределах досягаемости для любого способного американца, который желает ею заниматься, и каждой организации с играей определенную роль в подготовке специалистов по кибербезопасности следующего поколения.

ПЯТЫЙ КОМПОНЕНТ | КУЗНИЦА МЕЖДУНАРОДНОГО ПАРТНЕРСТВА ДЛЯ ДОСТИЖЕНИЯ ОБЩИХ ЦЕЛЕЙ

Соединенные Штаты стремятся к миру, в котором ответственное поведение государства в киберпространстве ожидается и вознаграждается, а безответственное поведение приводит к изоляции и обходится дорого. Для достижения этой цели мы продолжим взаимодействовать со странами, выступающими против нашей более широкой повестки дня по общим проблемам, одновременно создавая широкую коалицию стран, работающих над поддержанием открытого, свободного, глобального, совместимого, надежного и безопасного Интернета.

На протяжении десятилетий мы работали через международные институты над определением и продвижением ответственного поведения государств в киберпространстве. Мы использовали многосторонние процессы, такие как Группа правительственных экспертов Организации Объединенных Наций (ООН) и Рабочая группа открытого состава, для разработки рамок, включающих набор норм мирного времени и мер укрепления доверия, которые все государства-члены ООН подтвердили на Генеральной Ассамблее ООН. Мы поддержали расширение Будапештской

конвенции о киберпреступности и другие глобальные усилия по повышению безопасности киберпространства. Мы будем продолжать эти усилия, признавая необходимость работать с партнерами, чтобы помешать мрачному видению будущего Интернета, которое продвигают КНР и другие автократические правительства. Мы сделаем это, продемонстрировав экономикам и обществам ценность открытости и совместно установив последствия за поведение, которое противоречит согласованным нормам поведения государств.

Для противодействия общим угрозам, сохранения и укрепления глобальной свободы Интернета, защиты от транснациональных цифровых репрессий и построения общей цифровой экосистемы, которая по своей сути является более устойчивой и защищаемой, Соединенные Штаты будут работать над расширением формирующейся модели сотрудничества национальных заинтересованных сторон в области кибербезопасности для сотрудничества с международным сообществом. Мы будем расширять коалиции, совместно пресекать деятельность транснациональных преступников и других злонамеренных киберпреступников, создавать потенциала наших международных союзников и партнеров, усилить применимость существующего международного права к поведению государств в киберпространстве, поддерживать общепринятые и добровольные нормы ответственного поведения государств в мирное время и наказывать тех, кто занимается подрывной, деструктивной или дестабилизирующей злонамеренной кибердеятельностью.

В апреле 2022 года Соединенные Штаты и 60 стран обнародовали Декларацию о будущем Интернета (DFI), объединяющую широкую и разнообразную коалицию партнеров, крупнейшую в своем роде, вокруг общего демократического видения открытого, свободного, глобального, совместимого, надежного и безопасного цифрового будущего. Через DFI, коалицию "Свобода онлайн" и другие партнерства и механизмы Соединенные Штаты объединяют страны-единомышленники, международное деловое сообщество и другие заинтересованные стороны для продвижения нашего видения будущего Интернета, которое способствует безопасным и надежным потокам данных, уважает конфиденциальность, поощряет права человека и позволяет

добиваться прогресса в решении более широких задач.

С помощью таких механизмов, как Четырехсторонний диалог по вопросам безопасности (“Четверка”) между Соединенными Штатами, Индией, Японией и Австралией, Соединенные Штаты и их международные союзники и партнеры продвигают эти общие цели в киберпространстве. К ним относятся улучшение обмена информацией между группами реагирования на компьютерные чрезвычайные ситуации и развитие цифровой экосистемы, основанной на общих ценностях.

Индо-Тихоокеанские экономические рамки процветания (IPEF) и Американское партнерство во имя экономического процветания (APEP) создают возможности для Соединенных Штатов и региональных правительствам следует сотрудничать в установлении правил дорожного движения для цифровой экономики, включая содействие разработке технических стандартов, механизмов обеспечения трансграничных потоков данных, которые защищают конфиденциальность, избегая при этом строгих требований к локализации данных, и действий по повышению безопасности и устойчивости цепочки поставок. Через Совет по торговле и технологиям США-ЕС (TTC) мы координируем действия через Атлантику для борьбы с общими угрозами и демонстрируем, как рыночные подходы

цифровая торговля, технологии и инновации могут улучшить жизнь наших граждан и стать движущей силой большего процветания. Соединенные Штаты также тесно сотрудничают с Австралией и Соединенным Королевством в рамках трехстороннего пакта о безопасности и технологиях (“АУКУС”) для защиты критически важных технологий, улучшения координации в киберпространстве и обмена передовыми возможностями.

Благодаря этим и другим партнерствам Соединенные Штаты и международные партнеры могут продвигать общие интересы в области кибербезопасности, обмениваясь информацией о киберугрозах, модельными практиками кибербезопасности, сравнивая отраслевой опыт, внедряя принципы обеспечения безопасности на основе проекта и координируя политику и действия по реагированию на инциденты. Кроме того, партнерства с участием многих заинтересованных сторон и коалиции, в которые также входят организации частного сектора и гражданского общества, такие как Призыв Крайстчерча к действию по ликвидации террористического и насильственного экстремистского контента в Интернете, Коалиция «Свобода онлайн» и Глобальное партнерство по борьбе с гендерными домогательствами и злоупотреблениями в Интернете имеют решающее значение для решения системных проблем. Мы будем использовать эти партнерские отношения для обеспечения эффективного оперативного сотрудничества по защите нашей общей цифровой экосистемы. Мы также будем поддерживать и помогать создавать, по мере необходимости, новые и новаторские партнерства — как в случае с международной инициативой по борьбе с программами-вымогателями, которые объединяют уникальные группы заинтересованных сторон для решения новых и зарождающихся проблем кибербезопасности.

Поскольку большая часть вредоносной киберактивности, нацеленной на Соединенные Штаты, осуществляется субъектами, базирующимися в зарубежных странах или использующими иностранную вычислительную инфраструктуру, мы должны укреплять механизмы, которые у нас есть для сотрудничества с нашими союзниками и партнерами, чтобы ни один противник не мог обойти верховенство закона. Соединенные Штаты будут работать со своими союзниками и партнерами над разработкой новых совместных правоохранительных механизмов для цифровой эпохи. Например, Европейский центр по борьбе с киберпреступностью сыграл жизненно важную роль в модернизации правовой базы, обучении правоохранительных органов, улучшении установления авторства, сотрудничестве с партнерами из частного сектора и реагировании на вредоносную киберактивность в Европе. Чтобы расширить эту модель, мы будем поддерживать усилия по созданию эффективных центров взаимодействия с партнерами в других регионах.ТЬ

По мере того, как мы создаем коалицию для продвижения общих приоритетов кибербезопасности и продвижения общего видения цифровой экосистемы, Соединенные Штаты будут укреплять потенциал государств-единомышленников по всему миру для поддержки этих целей. Мы должны позволить нашим союзникам и партнерам обеспечить безопасность критически важных инфраструктурных

сетей, создать эффективные возможности обнаружения инцидентов и реагирования на них, обмениваться информацией о киберугрозах, продолжать дипломатическое сотрудничество, наращивать потенциал и эффективность правоохранительных органов посредством

оперативное сотрудничество и поддержка наших общих интересов в киберпространстве путем соблюдения международного права и укрепления норм ответственного поведения государств.

Для достижения этой цели Соединенные Штаты объединят опыт различных учреждений, государственного и частного секторов, а также передовых региональных партнеров для осуществления скоординированных и эффективных усилий по наращиванию международного киберпотенциала и оперативному сотрудничеству. В рамках сообщества правоохранительных органов Министерство юстиции продолжит выстраивать более надежную парадигму сотрудничества в области киберпреступности посредством двустороннего и многостороннего взаимодействия и соглашений, формального и неформального сотрудничества, а также обеспечения международного и регионального лидерства в укреплении законов, политики и операций в области киберпреступности. Министерство обороны продолжит укреплять свои отношения между военными, чтобы использовать уникальные навыки и перспективы союзников и партнеров, одновременно наращивая их потенциал для внесения вклада в нашу коллективную систему кибербезопасности. Государственный департамент продолжит координировать усилия всего правительства по обеспечению стратегического согласования федеральных приоритетов в области наращивания потенциала и продвижению интересов США, союзников и партнеров.ОЖНИКИ

Как показали недавние кибератаки против Коста-Рики, Албании и Черногории, союзники и партнеры, ставшие жертвами серьезной кибератаки, могут обратиться за поддержкой к Соединенным Штатам и

союзным и партнерским государствам для расследования таких инцидентов, реагирования на них и восстановления после них. Предоставление этой поддержки не только поможет партнеру в восстановлении и реагировании, но также продвинет цели внешней политики и кибербезопасности США. Тесное сотрудничество с пострадавшим союзником или партнером демонстрирует солидарность перед лицом действий противника и может ускорить усилия по разоблачению контрнормативного поведения государства и навязыванию последствий.

Администрация разработает политику для определения того, когда предоставление такой поддержки отвечает национальным интересам, разработает механизмы для выявления и использования ресурсов департамента и агентства в таких усилиях и, при необходимости, быстро предпримет меры по устранению существующих финансовых и процедурных барьеров для предоставления такой оперативной поддержки. В качестве одного из примеров Соединенные Штаты возглавляют усилия Организации Североатлантического договора (НАТО) по созданию виртуальнй поддержки, которая позволяет союзникам более эффективно поддерживать друг друга в реагировании на значительные вредоносные киберактивности.

Каждый член Организации Объединенных Наций взял на себя политическое обязательство поддерживать нормы мирного времени об ответственном поведении государств в киберпространстве, которые включают воздержание от киберопераций, которые могли бы намеренно нанести ущерб критически важной инфраструктуре вопреки их обязательствам по международному праву. Хотя наши противники знают, что такие обязательства не являются самоподдерживающимися, растущее влияние этих рамок побудило государства призвать к ответу тех, кто действует вопреки им. Сообщество Организации Объединенных Наций сотрудничали в подготовке скоординированных заявлений о присвоении, которые содержат одновременное дипломатическое осуждение многих правительств и укрепление коалиции, приверженной стабильному киберпространству.

Соединенные Штаты, как ключевая часть своей обновленной, активной дипломатии, будут привлекать безответственные государства к ответственности, когда они не выполняют свои обязательства. Чтобы эффективно сдерживать наших противников и противодействовать злонамеренным действиям на грани вооруженного конфликта, мы будем работать с нашими союзниками и партнерами над тем, чтобы сочетать заявления об осуждении с навязыванием значимых последствий. Эти усилия потребуют совместного использования всех инструментов государственного управления, включая, среди прочего, дипломатическую изоляцию, экономические издержки, операции по борьбе с кибербезопасностью и правоохранительными органами или юридические санкции.

Сложные и глобально взаимосвязанные цепочки поставок производят информационные, коммуникационные и технологические продукты и услуги, которые являются движущей силой экономики США. От сырья и основных компонентов до готовой продукции и услуг — как виртуальных, так и физических — мы зависим от растущей сети иностранных поставщиков. Эта зависимость от критически важных иностранных продуктов и услуг от ненадежных поставщиков создает многочисленные источники системного риска для нашей цифровой экосистемы. Снижение этого риска потребует долгосрочного стратегического сотрудничества между государственным и частным секторами внутри страны и за рубежом, чтобы сбалансировать глобальные цепочки поставок и сделать их более прозрачными, безопасными, устойчивыми и заслуживающими доверия.

Критически важные исходные данные, компоненты и системы все чаще должны разрабатываться дома или в тесной координации с союзниками и партнерами, которые разделяют наше видение открытого, свободного, глобального, совместимого, надежного и безопасного Интернета. Основываясь на Национальной стратегии по обеспечению безопасности 5G, мы работаем с нашими партнерами над разработкой безопасных и заслуживающих доверия цепочек поставок для 5G и устройств следующего поколения беспроводных сетией, в том числе сетей радиодоступа (Open RAN) и совместные инициативы по диверсификации поставщиков. Такие усилия включают тестирование Министерством обороны внедрений Open RAN на нескольких базах, с многомиллионными проектами интеллектуальных складов и логистики, а также работу Национального управления телекоммуникаций и информации (NTIA) по стимулированию разработки и внедрения открытых, совместимых сетей на основе стандартов через Общественный фонд инноваций беспроводной цепочки поставок. Распространение этой модели на другие критически важные технологии потребует долгосрочное стратегическое сотрудничество между государственным и частным секторами внутри страны и за рубежом с целью перебалансировки глобальных цепочек поставок и повышения их безопасности, устойчивости и надежности. Двухпартийный закон об инфраструктуре предписывает “Строить Америку, покупать Америку” для финансируемых из федерального бюджета проектов, в том числе для цифровой инфраструктуры. Посредством EO 14017, «Цепочки поставок Америки», Закона о чипах и науке и Закона о снижении инфляции федеральное правительство внедрило новые инструменты промышленной и инновационной стратегии, помогающие восстановить производство важнейших товаров в Соединенных Штатах и их ближайших партнерах при одновременном обеспечении безопасности наших информационных технологий и передовых производственных цепочек поставок.

Соединенные Штаты будут работать с нашими союзниками и партнерами, в том числе в рамках региональных партнерств, таких как IPEF, Рабочая группа Quad по критическим и новым технологиям и TTC, для выявления и внедрения передовых практик в области управления рисками в трансграничных цепочках поставок и работы по переводу цепочек поставок через страны-партнеры и надежных поставщиков. Эти усилия будут уделять приоритетное внимание

возможностям обеспечения более высокого уровня уверенности в том, что цифровые технологии будут функционировать должным образом, и привлекать страны к поддержке общего видения открытого, свободного, глобального, совместимого, надежного, и безопасный Интернет. Государственный департамент еще больше ускорит эти усилия с помощью нового Международного фонда технологической безопасности и инноваций для поддержки создания безопасных и разнообразных цепочек поставок полупроводников и телекоммуникаций. Наконец, благодаря внедрению EO 13873 «Обеспечение безопасности цепочки поставок информационных и коммуникационных технологий и услуг», а также EO 14034 «Защита конфиденциальных данных американцев от иностранных злоумышленников», мы будем работать над предотвращением неприемлемых и неоправданных рисков для нашей национальной безопасности, связанных с информационными и коммуникационными технологиями и услугами, находящимися под контролем или влиянием враждебных правительств.

РЕАЛИЗАЦИЯ

Реализация стратегических целей, изложенных в этой стратегии, потребует особого внимания к реализации. Под надзором сотрудников НСК и в координации с OMB ONCD будет координировать реализацию этой стратегии. ONCD будет работать с межведомственными партнерами над разработкой и публикацией плана реализации, в котором будут изложены федеральные направления усилий, необходимые для реализации этой стратегии. Когда реализация этой стратегии требует пересмотра существующей политики или при разработке новой политики сотрудники СНБ будут руководить этими усилиями посредством процесса, описанного в NSM-2, «Обновление системы Совета национальной безопасности».

При реализации этой стратегии федеральное правительство будет использовать подход, основанный на данных. Мы будем

оценивать сделанные инвестиции, наш прогресс в реализации, а также конечные результаты и эффективность этих усилий. ONCD в координации с сотрудниками СНБ, OMB, департаментами и агентствами будет оценивать эффективность этой стратегии и ежегодно отчитываться Президенту, помощнику президента по вопросам национальной безопасности и Конгрессу об эффективности этой стратегии, связанной с ней политики и последующих действиях по достижению ее целей.

Федеральное правительство будет уделять приоритетное внимание обобщению уроков, извлеченных из киберинцидентов, и применять эти уроки при реализации этой стратегии. CSRB завершил свой первый обзор уязвимости Log4j летом 2022 года, в ходе которого CSRB составил авторитетный отчет о том, что произошло, начиная с обнаружения уязвимости и заканчивая ходом реагирования на самый масштабный киберинцидент в истории. CSRB также предоставлял отраслевые услуги федеральным агентствам и программное обеспечение

сообщество разработчиков с четкими, практическими рекомендациями, основанными на том, что обнаружила проверка , чтобы сообщество могло быть лучше защищено в будущем.

Когда CSRB завершит свои обзоры, федеральное правительство выполнит его рекомендации , улучшив свою собственную деятельность посредством исполнительных действий, где это возможно, и будет работать с Конгрессом над расширением полномочий, по мере необходимости. Федеральные агентства также будут продвигать и усиливать рекомендации CSRB, которые адресованы сетевым защитникам в частном секторе. Помимо КСО, требуются более широкие национальные усилия по извлечению уроков из киберинцидентов. Регулирующим органам рекомендуется встроить процессы рассмотрения инцидентов в свои нормативные рамки. CISA и правоохранительным органам также рекомендуется выстраивать процессы для регулярного извлечения уроков, извлеченных из их расследований и действий по реагированию на инциденты. Частным компаниям также рекомендуется проводить эти обзоры и делиться выводами из своих усилий по информированию о реализации этой стратегии.

Поддержание открытого, бесплатного, глобального, совместимого, надежного и безопасного Интернета и создание более защищённой и устойчивой цифровой экосистемы потребует долгосрочных инвестиций Федерального правительства, союзников и партнеров, а также частного сектора. Многие федеральные меры, содержащиеся в этой стратегии, направлены на увеличение инвестиций частного сектора в безопасность, устойчивость, улучшение сотрудничества, а также исследований и разработок. Федеральные агентства должны поддерживать свой частный сектор, партнеров, и это повысит их потенциал для выполнения важных федеральных задач, потребуются целевые инвестиции. Чтобы направлять эти инвестиции, ONCD и OMB будут совместно выпускать ежегодные рекомендации по бюджетным приоритетам в области кибербезопасности для департаментов и агентств в целях продвижения стратегического подхода Администрации. ONCD будет работать с OMB, чтобы обеспечить согласование бюджетных предложений департамента и агентства для достижения целей, изложенных в этой стратегии. Администрация будет сотрудничать с Конгрессом в финансировании мероприятий по кибербезопасности, чтобы идти в ногу со скоростью изменений, присущих кибер-экосистеме.