Президент Дональд Трамп поздно вечером в пятницу подписал исполнительный указ, посвященный кибербезопасности, который, по словам Белого дома, «исправляет проблемные элементы исполнительных указов Обамы и Байдена».
В последние несколько дней своего пребывания в занимая свой пост, президент Байден подписал исполнительный указ (EO), посвященный кибербезопасности, направленный на прекращение использования украденных и поддельных личных данных преступными группировками, поскольку они используются для «систематического обмана государственных программ, которые обходятся налогоплательщикам дорого и приводят к растрате средств федерального правительства».
Для достижения этой цели Президентский мандат Байдена предписывал федеральным агентствам сотрудничать со штатами в разработке и выдаче мобильных водительских удостоверений и инфраструктуры, необходимой для проверки этих типов цифровых удостоверений личности.Приказ Трампа отменяет раздел приказа Байдена, озаглавленный «Решения по борьбе с киберпреступностью и мошенничеством».
Кажется странным устранять этот раздел из служебного положения его предшественника, особенно для республиканской администрации, жестко борющейся с преступностью и расточительством государственных средств.Аргументы президента Трампа в пользу отмены раздела о цифровой идентификации в директиве Байдена отражают убеждение в том, что цифровые удостоверения личности облегчают иммигрантам доступ к социальным выплатам, а не предотвращают мошенничество и киберпреступность.
Белый дом заявил, что «отменяет действие мандата на выдачу правительством США цифровых удостоверений личности нелегальным иностранцам, которые способствовали бы мошенничеству с правами и другим злоупотреблениям».
Отмена этого требования к цифровому удостоверению личности «во имя предотвращения мошенничества, растраты и злоупотребления — это все равно, что заявлять, что нам нужны более безопасные дороги, одновременно снимая ограждения с мостов», — заявила генеральный директор Центра демократии и технологий Александра Рив Гивенс в электронном письме The Register. Она добавила, что указ Байдена не предписывает выдавать государственные цифровые удостоверения личности иммигрантам без документов: «Это просто неправда», — сказала она.
Сегодня мошеннические группы, преступные организации и национальные государства являются главными виновниками мошенничества с личными данными.
«Хорошо зарекомендовавшие себя передовые практики, такие как стандарты защиты от фишинга и сохранения конфиденциальности мобильные идентификаторы необходимы для обеспечения безопасности всех будущих федеральных систем», — добавила она. «Единственные, кто выиграет от этого шага назад, — это хакеры, которые хотят взломать федеральные системы, мошенники, которые хотят украсть деньги налогоплательщиков с помощью небезопасных сервисов, и старые поставщики, которые хотят сохранить выгодные контракты, не внедряя современные средства защиты».
Миллиарды потеряны, но не для иммигрантов.
Кроме того, по мнению экспертов в области кибербезопасности и управления идентификационными данными, не иммигранты зарабатывают миллиарды, используя украденные идентификационные данные для содействия цифровому мошенничеству и другим преступлениям. Банды вымогателей и головорезы, спонсируемые иностранными правительствами, являются реальным источником денег, потерянных из-за мошенничества и поддельных удостоверений личности.»Сегодня мошенничество с личными данными — это, безусловно, мошеннические группировки, преступные организации и национальные государства», — сказал Джордан Баррис в интервью The Register. Баррис является вице-президентом в государственном секторе компании Socure, которая занимается проверкой цифровой личности и предотвращением мошенничества. Во время первой администрации Трампа он занимал должность руководителя аппарата федерального директора по информационным технологиям Белого дома.
Джереми Грант, бывший старший исполнительный советник NIST и координатор Коалиции за лучшую идентификацию, которая выступает за усиление политики цифровой безопасности и конфиденциальности, также помогает иностранным злоумышленникам использовать поддельные данные. цифровые идентификационные данные для мошенничества по финансовым мотивам.»Китайские хакеры, спонсируемые государством, украли миллиарды с помощью атак, ориентированных на идентификацию», — написал Грант в LinkedIn. «Министерство юстиции отметило, что Северная Корея украла более 2 миллиардов долларов для финансирования своей ядерной программы с помощью аналогичных атак, направленных против банков и криптобирж, а совсем недавно подделала идентификационные данные, чтобы разместить северокорейцев на удаленных ИТ-работах для получения дополнительных денег на топливо для своего оружия массового уничтожения».
<Баррис, однако, по-прежнему надеется, что отмена раздела о цифровой идентификации в январском указе Байдена откроет администрации Трампа путь к принятию более существенных мер защиты."Если быть до конца откровенным, то положение в том виде, в каком оно существовало раньше, было слабым и мало что могло сделать для прекращения масштабного мошенничества со стороны национальных государств, которое мы наблюдаем сегодня", - сказал он. "Перед администрацией Трампа сейчас стоит настоятельная необходимость активизировать все свои усилия по борьбе с мошенничеством и цифровой идентификацией".
Баррис уже давно выступает за то, чтобы рассматривать цифровую идентификацию как критически важную инфраструктуру и обеспечивать ее безопасность как таковую. Он также хочет, чтобы администрация Трампа разработала национальную стратегию борьбы с цифровым мошенничеством и делилась сигналами и разведданными о типах мошенничества и кампаниях в режиме реального времени в рамках усилий по обмену информацией об угрозах кибербезопасности.»Я бы не хотел, чтобы в течение оставшегося срока нашего президентства не было предпринято никаких действий, связанных с цифровой идентификацией», — сказал он.
Обязательное добровольное программное обеспечение secure by design
Конечно, по словам Белого дома, раздел, касающийся цифрового удостоверения личности, был не единственным «проблемным» разделом в приказе Байдена.
Еще одна директива, которую сократил указ Трампа, — это требование к компаниям-разработчикам программного обеспечения, которые продают его правительству, следовать методам разработки безопасного программного обеспечения и предоставлять доказательства этого в CISA.
Приказ Байдена также требовал, чтобы федеральное правительство участвовало в разработке безопасного программного обеспечения. разработала «скоординированный набор практических и эффективных методов обеспечения безопасности, которые требуются при закупке программного обеспечения» – по сути, минимальные требования к кибербезопасности.
В новом EO Трамп отменил оба требования. Вместо того, чтобы заставлять поставщиков программного обеспечения представлять в CISA так называемые «сертификаты о разработке безопасного программного обеспечения», приказ делает практику обеспечения безопасности на основе разработки добровольной.
NIST поручено создать государственно-частный консорциум для руководства передовыми практиками разработки безопасного программного обеспечения и выпуска обновлены рекомендации по безопасному развертыванию исправлений и обновлений.»Переход к добровольному руководству звучит заманчиво, однако на практике это часто означает более медленное внедрение и меньшее количество гарантий», — сказал генеральный директор Bugcrowd Дэйв Джерри в интервью The Register. «Трудно понять, как это повышает нашу безопасность”, — добавил он.Сертификация защищенного программного обеспечения «была введена для снижения рисков по всей цепочке поставок», — добавил Джерри. «Этот приказ лишает нас важных уроков. Кибербезопасность должна быть беспартийным обязательством по обеспечению национальной устойчивости, а не разменной монетой в политических переговорах»®.
