הפרטים עודם מתבררים, אבל נראה שמתקפת הסייבר הרוסית האחרונה על משרדי ממשל מרכזיים בארה"ב תהיה אחת החשובות ביותר בהיסטוריה. עד כה פורסם, כי שירות ביון החוץ הרוסי (SVR), שנחשב מזמן לזרוע המתקדמת ביותר של הקרמלין בתחום הסייבר, הצליח לחדור למשרדי החוץ, האוצר וביטחון הפנים. הוא עשה זאת מאז חודש מארס, לאחר חדירה לשרתים של חברת
SolarWinds המשרתת רבבות לקוחות עסקיים וממשלתיים. סביר להניח שהממדים המלאים של הנזק לא יתגלו אלא בעוד חודשים ואולי אפילו שנים.
אלכס סטיימוס, ראש המרכז לחקר הסייבר באוניברסיטת סטנפורד ולשעבר מנהל אבטחת המידע של יאהו ופייסבוק, כותב בוושינגטון פוסט, כי כבר כעת ברור שמשהו פגום בצורה בה ארה"ב מתגוננת מפני פצחנים הפועלים בשליחותן של מדינות כמו רוסיה, סין, אירן וקוריאה הצפונית. הוא מציע שלושה תיקונים מרכזיים.
הראשון: יש להקים סוכנות לביטחון סייבר, בדומה לזו המופקדת על הבטיחות בדרכים. תפקידה יהיה לאתר מתקפות, לנהל חקירות על הפרצות שאפשרו אותן ולפרסם המלצות כדי למנוע את הישנותן. במצב הנוכחי, המידע היחיד שיקבל הציבור יהיה מצידם של עורכי דין שיגישו תביעות ייצוגיות בשמם של החברות שנפגעו ובעלי מניותיהן. סטיימוס מספר, כי כאשר עבד בחברת יאהו ראה מקרוב מה קורה אחרי מתקפת סייבר רוסית: עורכי דין הפיקו עשרות תצהירים, בחנו רבבות מסמכים, קיבלו שכר טירחה במיליוני דולרים – וזהו. לא היה שום תיעוד ציבורי ולא הופקו שום לקחים מעשיים. יש ליצור מערכת שתטפל במתקפות סייבר כמו בכשלים בענפים חיוניים אחרים, וכאמור – הוא מציע לקחת את הדוגמה מענף התחבורה.
באותה נשימה, על הקונגרס להעביר חוק פדרלי אשר יטפל בפרצות באבטחת מידע, ויטפל באלפי המקרים המתרחשים מדי שנה אך אינם מדווחים לציבור. מתקפות כאלו כללו נסיונות להשיג מידע על חיסונים, עיצוב טילים וסודות סחר. כיום אין חוק הקובע כיצד יש לדווח עליהן, אלא אם כן במסגרתן נגנב מידע אישי. ארה"ב לא תוכל להתמודד עם האיום כל עוד היא מדברת רק על חלק קטן ממנו.
שנית: הקונגרס והסוכנות החדשה יוכלו לשתף פעולה ביצירת אמצעי הגנת סייבר שיעמדו ברמה של אמצעי ההתקפה הקיימים. הסוכנות להגנת סייבר ותשתיות הוקמה רק לפני שנתיים, כדי לתאם את ההגנה במגזר העסקי והממשלתי. ההיקף האנושי והטכנולוגי שלה עדיין אינו תואם את זה של בני-הדודים המופקדים על מתקפות סייבר. לסוכנות זו יש 2,200 עובדים, לעומת 40,000 לסוכנות לביטחון לאומי, שהיא רק אחת מ-17 סוכנויות הביון האמריקניות. תיקון ראוטרים במשרד הפנים איננו סקסי כמו הריסת צנטריפוגות אירניות או קריאת ההתכתבויות של המפלגה הקומוניסטית הסינית, אבל הוא לא פחות חשוב, בהתחשב בכך שכלכלת הטכנולוגיה האמריקנית היא הגדולה ביותר וגם הפגיעה ביותר בעולם.
שלישית: ממשל ביידן יכול למנות אישים בעלי ניסיון מעשי בהגנת הסייבר לתפקידי מפתח בבית הלבן ובמשרדי הממשל המרכזיים. וושינגטון הרשמית התייחסה לניסיון בביטחון סייבר בחוסר כבוד שלא היה עולה על הדעת מול מקצועות מורכבים אחרים. הסנאט לעולם לא היה מאשר את מינויו של עורך דין מתחום הנזיקין למנתח הכללי, והנשיא לעולם לא היה ממנה את הפרקליט הצבאי הראשי לרמטכ"ל. אבל זו הדרך בה וושינגטון התייחסה לביטחון הסייבר – משהו שאותו מבינים הכי טוב עורכי דין התובעים פושעי סייבר ומייצגים את החברות שנפגעו.
סטיימוס מדגיש, כי אין לו כל כוונה לזלזל בעורכי הדין; רבים מאלו העובדים בתחום הסייבר הם חכמים ומסורים. אבל צוות הגנת הסייבר של ממשל ביידן צריך לכלול את בעלי הניסיון האמיתי במניעה, איתור ותגובה של מתקפות סייבר – כמו המתקפה הנוכחית. כבר מזמן צריך היה להתחיל להתייחס לסיכוני הסייבר ברצינות הראויה.