Огляд
6 червня 2025 року президент Дональд Трамп видав нове виконавче розпорядження (EO), “підтримка вибору зусиль щодо зміцнення кібербезпеки нації та внесення змін до виконавчого розпорядження 13694 та виконавчого розпорядження 14144”, яке і вносить зміни до змін та заміни частин президента Бідена 2025 EO 14144 (про які ми обговорювали в січневому Юриді) та переробляють Президент Обаму 2015.
Нова директива зберігає багато стратегічних цілей попередньої адміністрації, таких як фокус на безпечній розробці програмного забезпечення, видимості федеральної мережі та боротьбу з шкідливими діями з кібер. Однак він змінює підхід федерального уряду, в тому числі, зменшуючи обсяг директив попереднього ЕО, усунувши деякі найбільш встановлені вимоги, накладені Байденом ЕО, та закінчуючи певні ініціативи цифрової ідентичності.
EO також робить оновлений акцент на використанні штучного інтелекту (AI) для підвищення кібербезпеки, стверджуючи, що AI “має потенціал для перетворення кібер -захисту шляхом швидкого виявлення вразливих місць, збільшення масштабу методів виявлення загрози та автоматизації кібер -захисту”.
Компанії, які розробляють або надають програмне забезпечення, апаратне забезпечення, хмарні послуги чи інші цифрові продукти та послуги федеральним агенціям США, можуть особливо вигодити від ознайомлення з оновленим ЕО та враховують його наслідки для управління ризиками кібербезпеки, а також урядової залучення.
Ключові теми та стратегічні зрушення
Менше за рецептом, більша гнучкість: ЕО усуває багато детальних директив та термінів, накладених на агенції попереднім ЕО.
Постійний акцент на модернізації: EO підтверджує федеральні кібер-пріоритети, такі як вдосконалена хмарна безпека, полювання на загрози, захист космічних систем та підготовка до обчислень після кванту (PQC), хоча і з більшою розсудом, залишеною агенціям щодо впровадження.
Орієнтований на SAI Security Focus: EO Sourows замислювався над діяльністю федерального уряду з кібербезпеки штучного інтелекту, зосередившись на відстеженні та пом'якшенні вразливості, а не на більш широких дослідженнях чи пілотних програмах, що стосуються сектору.
Усунення зусиль цифрової ідентифікації: EO відкликає директиви щодо посиленого використання та пропонування цифрових ідентифікаційних документів. Факти, що супроводжують ЕО, стверджує, що ці директиви “сприяли б шахрайству та інших зловживань” іноземними громадянами.
Підсумок ключових розділів
Нижче ми надаємо підсумок отриманого ЕО після впровадження змін, направлених президентом Трампом:
Сек. 2, операціоналізація прозорості та безпеки в сторонніх ланцюгах постачання програмного забезпечення: Міністерство торгівлі через NIST оновить безпечну рамку розробки програмного забезпечення (SSDF) та NIST SP 800-53 (Контроль безпеки та конфіденційності для інформаційних систем та організацій) та скликати державно-приватний консорціум для розробки подальших вказівок. Однак EO скасовує мандат EO 14144 щодо виконання вимог щодо атестації CISA в далеку.
Сек. 3. Поліпшення кібербезпеки федеральних систем: Агентства повинні продовжувати вдосконалювати видимість мережі, посилення конфігурацій хмари та дозволяючи CISA проводити активне полювання на загрозу через ініціативу стійких можливостей доступу. EO також вимагає покращити базові лінії безпеки FedRamp та захист космічних систем. Конкретні пілоти щодо управління фішингами, стійкі до ідентичності, були скасовані.
Сек. 4. Забезпечення федеральних комунікацій: EO підтримує директиви, пов'язані з безпечною маршрутизацією в Інтернеті, шифруванням трафіку DNS та плануванням переходу на загальний уряд до PQC. Він відкликає конкретні вимоги, щоб включити підтримку PQC у всі відповідні клопотання про агентство, а також відмовились від попередніх мандатів щодо шифрування урядових бірж електронної пошти.
Сек. 5. Просування безпеки з штучним інтелектом та в умовах: Департаменти оборонної та внутрішньої безпеки повинні включати вразливі програми, пов'язані з AI, в уразливі програми вразливості. EO відкликає більш широкі директиви для досліджень безпеки AI та пілотних проектів з енергетичного сектору.
Сек. 6. Вирівнювання політики до практики: Агентства повинні визначити пріоритетні інвестиції, які покращують видимість мережі та контроль безпеки. Крім того, Далека рада повинна реалізувати “Кібер -трест позначки США” споживчого Інтернету про вимогу маркування речей для відповідних постачальників федерального уряду. EO видаляє явні посилання на нульову архітектуру довіри, виявлення кінцевої точки та розгортання відповідей та ризики концентрації постачальників.
Перегляди до виконавчого розпорядження 13694: EO обмежує застосування кібер -санкцій лише “іноземним особам”, що відображає політичне рішення про потенційну відповідальність за каюти проти американських осіб.
