エンドレスで サイバーセキュリティを改善し、デジタル防御への投資を奨励するために戦うために、一部の専門家は物議を醸す提案をしています. 企業に真剣に考えさせる唯一の方法は、製品やインフラを保護するための適切な措置を講じていない場合に法的責任を負わせることによって、真の経済的インセンティブを生み出すことだと彼らは言います。 誰もが望んでいないのは、より多くの責任であるため、このアイデアの人気が爆発的に高まったことはありませんが、今週のホワイトハウスの国家サイバーセキュリティ戦略は、この概念を大幅に後押ししています.
待望の 書類 は、重要なインフラストラクチャに対するより強力なサイバーセキュリティ保護と規制、サイバー犯罪活動を妨害するための拡張プログラム、およびグローバルな協力への重点を提案しています。 これらの優先事項の多くは広く受け入れられており、過去の米国政権が発表した国家戦略に基づいています。 しかし、バイデンの戦略は、責任の問題を大幅に拡大しています。
「最も高度なソフトウェア セキュリティ プログラムでさえ、すべての脆弱性を防ぐことはできないことを認識しながら、ソフトウェアを保護するための合理的な予防措置を講じていないエンティティに責任を転嫁し始めなければなりません」と述べています。 「ソフトウェアを作成する企業は、革新する自由を持たなければなりませんが、消費者、企業、または重要なインフラストラクチャ プロバイダーに対して負っている注意義務を果たせなかった場合、責任を負わなければなりません。」
戦略を公表することは、ホワイトハウスの優先事項を明確にする方法ですが、それ自体は、議会が特定の政策を制定するための法律を可決することを意味するものではありません. 文書の公開により、バイデン政権は、責任をより適切に処理する方法についての議論を促進し、個々のアメリカ人の利害についての意識を高めることに重点を置いているようです.
「今日、公共部門と民間部門の間で、私たちはサイバー リスクの責任を下方に委ねる傾向にあります。 私たちは、個人、中小企業、および地方自治体に、私たち全員を守るために大きな負担を負うよう求めます. これは単に不公平であるだけでなく、効果がありません」と、国家サイバー ディレクターのケンバ ウォルデン代理 言った 木曜日の記者。 「私たちのデジタル エコシステムで最大かつ最も能力があり、最適な立場にあるアクターは、サイバー リスクを管理し、私たち全員を安全に保つために、より大きな負担を負うことができ、またそうすべきです。 この戦略は産業界により多くを求めますが、連邦政府にもより多くのことを約束します。」
米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシーのディレクターである Jen Easterly は、今週初めにカーネギー メロン大学の聴衆に対して同様の感情を抱いていました。 「私たちは、既知の脆弱性にパッチを当てていなかったために、セキュリティ違反が発生した今日の会社を非難することがよくあります」と彼女は言いました。 「そもそもあまりにも多くのパッチを必要とする技術を生み出したメーカーはどうですか?」
大企業に責任を転嫁するという目標は確かに話題になっていますが、それが実際に変化をもたらすかどうかという問題に注目が集まっています。 アプリケーション セキュリティ企業 Veracode の創設者兼 CTO である Chris Wysopal 氏は、ホワイト ハウスの戦略について National Cyber Director オフィスに情報を提供しました。
「この分野の規制は複雑で扱いにくいものになるでしょうが、適切に行われれば強力になる可能性があります」と彼は言います。 Wsopal は、セキュリティ責任法の概念を環境規制に例えています。 「単純に汚染して立ち去ることはできません。 企業は混乱を一掃する準備をする必要があります。」