הנשיא ג'ו ביידן חתם (יום ד', 12.5.21) על צו נשיאותי שמטרתו להגביר את ההגנות הדיגיטלית של גופי הממשל הפדרלי. זאת, במקביל להתמודדות עם פשעי סייבר דוגמת דרישת הכופר מחברת הצנרת קולוניאל פייפליין בשבוע שעבר שאילצה אותה להשבית את הזרמת הדלק בחוף המזרחי.
פחות מארבעה חודשים לאחר השבעתו, ביידן צריך היה להגיב על מתקפת סייבר רוסית שפגעה בתשעה גופי ממשל ו-100 חברות, ועל מתקפת סייבר סינית שפגעה ברבבות חברות קטנות ובינוניות המשתמשות בשירותי הדוא"ל של מיקרוסופט. הצו אינו מציין תשתיות חיוניות כמו צינורות דלק וגז, אומר ניו-יורק טיימס, אך הוא מנחה את משרד המסחר לנסח כללי אבטחת סייבר לחברות המוכרות שירותי תוכנה לממשל. מומחים מקווים שהצעד יעביר למגזר הפרטי בארה"ב ומחוצה לה את החשיבות של הגנת הסייבר על מערכות חיוניות.
הצו גם מנחה את גופי הממשל לפעול בגישה של הגנת סייבר, המעדיפה זיהוי של המשתמשים על-פי התנהגותם ולא על-פי ססמה או מיקום. המסמך בן 34 העמודים – ארוך מאוד ביחס לצו נשיאותי – מנחה לדווח בתוך שלושה ימים על תקריות סייבר חמורות; להקים מועצה שתבחן תקריות חמורות; ולחזק תוכנית המאפשרת לגופים פדרליים לבחון את אבטחתו של מוצר לפני שהוא נמכר לממשל. הוא גם מבהיר שהספקים של הממשל נדרשים לדווח על תקריות בגופי הממשל למשרד הניהול והתקציבים בבית הלבן, למשרד לביטחון פנים ולסוכנות להגנת תשתיות.
"זהו הצעד השאפתני ביותר בתחום אבטחת הסייבר של ממשל כלשהו מזה עשרות שנים", אומר ארי שוורץ, שעסק בתחום הסייבר בממשל אובמה. פרשנים אומרים שלצו יהיו השפעות משמעותיות על המגזר הפרטי. "בתחומים רבים של אבטחת מחשבים, מה שהממשל עושה ראשון – המגזר הפרטי עושה אחריו", מסביר שוורץ. "מה שהממשל הפדרלי דורש צפוי להפוך לסטנדרט של כל התוכנות העתידיות – לא רק בארה"ב, אלא גם בעולם".
הצו מנחה את משרד המסחר לפרסם בתוך שישה חודשים טיוטה של קווים מנחים לביטחון סייבר בשרשרת האספקה, וקווים מנחים סופיים – בתוך שנה. קווים אלו יצטרכו לכלול בין היתר הנחיות לבדיקת פגיעוּת, כיצד לאתר פגמים, אבטחה מעודכנת של מקור הקוד ושימוש בכלים אוטומטיים לוודא שמקור הקוד אמין. על המשרד גם להגדיר "תוכנה חיונית" ולחייב את גופי הממשל לאמץ צעדי הגנה לתוכנות כאלה. על-פי הצו, שרי ההגנה וביטחון הפנים צריכים לנסח בתוך שנה את הכללים שיחייבו את ספקי הממשל לפעול בהתאם להנחיות. "הממשל מנסה לעצב את שוק התוכנות תוך שימוש בכוח השכנוע הפדרלי", אומר פקיד בכיר.
פיל ונבלס, קצין הביטחון הראשי של גוגל, אמר לטיימס, כי קביעת קני המידה לתוכנות תהיה "הדבר המשמעותי ביותר לאורך זמן, משום שזה נמצא בלב אתגר הסייבר של הממשל: הצורך במודרניזציה ובגיוון של טכנולוגיית המידע. זהו אחד הצעדים בעלי ההשפעה הגדולה ביותר, אך אולי הקשה ביותר ליישום. חיוני להתגונן במקומות בהם נמצאים התוקפים ועליהם הם מתמקדים".