Atacul SolarWinds, care a compromis mai multe agenţii federale din SUA şi multe alte organizaţii din America şi de peste ocean, a arătat dureros de clar că trebuie să ne dublăm eforturile pentru a dezvolta o abordare mai cuprinzătoare şi mai transparentă pentru protejarea reţelelor noastre de comunicaţii.
Europa se îndreaptă spre acest obiectiv cu seriozitate. Anul trecut, companiile sale s-au confruntat cu un termen limită pentru respectarea unei versiuni nou consolidate a primei legi UE privind securitatea cibernetică. Adoptată în 2016, Directiva privind securitatea reţelelor şi a sistemelor de informaţii consolidează abordarea de reglementare mai formală şi mai unificată a Europei în ceea ce priveşte gestionarea riscului de securitate cibernetică, încurajând standarde mai înalte, instrumente mai eficiente şi o mai mare coerenţă între statele membre ale UE.
UE ia în serios protecţia datelor şi lumea a luat act: în mai 2018, Europa a promulgat ceea ce a fost efectiv prima lege globală privind protecţia datelor, Regulamentul general privind protecţia datelor (General Data Protection Regulation). De atunci, GDPR a fost adoptat sau utilizat ca model de o serie de ţări din afara UE şi de numeroase companii. În iulie anul trecut, Curtea de Justiţie a UE a respins Scutul de confidenţialitate (Privacy Shield) al SUA, un cadru pentru reglementarea transferurilor comerciale de date cu caracter personal între UE şi Statele Unite. Privacy Shield a fost destinat să aducă companiile americane în conformitate cu GDPR. Dar Curtea UE a declarat că nu oferă o protecţie inadecvată pentru datele private ale cetăţenilor UE.
Pentru sănătatea companiilor americane, trebuie dezvoltată o alternativă care să îndeplinească cerinţele europene privind confidenţialitatea datelor. Aceasta reprezintă o bună oportunitate de a susţine eforturile îndelungate ale avocaţilor în domeniul confidenţialităţii din Statele Unite pentru a dezvolta legislaţia şi reglementările cuprinzătoare ale SUA în materie de confidenţialitate. Având în vedere importanţa confidenţialităţii datelor şi a naturii globale a spaţiului cibernetic, ar trebui ca Administraţia Biden şi UE să colaboreze cu alte ţări pentru un cadru internaţional transparent de protecţie a confidenţialităţii, care are cerinţe clare şi care poate fi auditat, pentru a facilita responsabilitatea.
Întrucât companiile şi guvernele se bazează din ce în ce mai mult pe reţelele, sistemele şi serviciile compatibile 5G, această dependenţă se va adânci pe măsură ce vor fi implementate capacităţile complete ale 5G. În consecinţă, guvernul SUA ar trebui să colaboreze cu organizaţiile din industrie, precum şi cu grupurile de reflecţie şi alţi experţi, pentru a dezvolta standarde de securitate cibernetică şi de confidenţialitate unificate, verificabile, care se aplică în mod egal tuturor reţelelor private şi guvernamentale şi lanţului global de aprovizionare.
SolarWinds oferă un memento necesar asupra capacităţilor de atac şi supraveghere ale celor mai sofisticaţi actori cibernetici din lume. Nu au nevoie de permisiunea sau acordul furnizorilor de echipamente de telecomunicaţii, operatorilor de telecomunicaţii sau altor persoane din lanţul de aprovizionare.
Cred că trebuie să adoptăm abordarea "încredere zero" susţinută de William Evanina, directorul Centrului Naţional de Contrainformaţii şi Securitate al SUA. Încrederea zero este ideea că nicio tehnologie netestată în afara perimetrelor unei organizaţii nu ar trebui să fie niciodată de încredere şi, în schimb, trebuie verificată pentru autentificare. Această abordare poate oferi o bază obiectivă şi transparentă pentru a cunoaşte ce produse şi servicii sunt demne de încredere. Ar trebui să presupunem că reţelele sunt compromise şi să acţionăm în consecinţă. Cu siguranţă nu ar trebui să avem încredere în nimeni - sau chiar să ne lăsăm garda jos făcând o diligenţă insuficientă - pur şi simplu bazându-ne pe cine sunt, unde îşi au sediul sau pe faptul că am făcut afaceri cu ei în trecut.
Împreună cu un cadru de securitate şi confidenţialitate bazat pe standarde şi bune practici clare şi unificate - şi care reflectă responsabilitatea comună pentru abordarea riscului în TIC - avem nevoie de programe şi protocoale de conformitate pentru a ne asigura că aceste standarde sunt îndeplinite. Acestea pot include procese de verificare independente, cuprinzătoare şi auditabile ale produselor şi componentelor critice care permit "încredere prin verificare".
Diverse scheme de certificare a securităţii au fost dezvoltate în ultimii 30 de ani pentru a evalua poziţiile de securitate ale furnizorilor şi operatorilor. Exemple de standarde sunt cele două îmbunătăţiri recente de securitate care vizează conectivitatea 5G: SCAS (Specificaţiile de asigurare a securităţii) şi NESAS (Schema de asigurare a securităţii echipamentelor de reţea). Acestea sunt exemple de reglementări clare şi bine definite care întăresc securitatea. Criteriile de testare pot fi ajustate la diferite niveluri de asigurare în funcţie de mediul de risc, făcând posibilă abordarea riscurilor chiar şi în condiţii extreme.
Standardele unificate de securitate cibernetică, împreună cu protocoalele de conformitate, inclusiv verificarea şi testarea standardizate, pot contribui la promovarea unui nivel mai ridicat de asigurare şi a unui mediu mai competitiv şi mai transparent. Spre deosebire de o lume cu multiple standarde şi lanţuri de aprovizionare disparate, un spaţiu cibernetic condus de standarde unificate este probabil să încurajeze o concurenţă robustă, rezultând în calitate superioară, costuri mai mici, mai multă inovaţie, securitate sporită şi rezilienţă crescută.
În aceste perioade dificile, este extrem de important să ne angajăm să colaborăm pentru a reduce riscurile şi a promova rezilienţa în spaţiul cibernetic.