Kritický čas pre kybernetickú bezpečnosť Ameriky: Blížiaci sa koniec CISA 2015 a jeho potenciálne katastrofálne dôsledky
Hodiny tikajú k 30. septembru 2025, dátumu, kedy vyprší platnosť jednej z najdôležitejších ochrán kybernetickej bezpečnosti v Amerike, ak Kongres nezakročí. Zákon o zdieľaní informácií o kybernetickej bezpečnosti z roku 2015 (CISA 2015) sa nenápadne stal chrbticou národnej kybernetickej obrany. Bez vytvárania akýchkoľvek ďalších predpisov umožnil rýchle zdieľanie informácií o hrozbách medzi vládou a podnikmi, čo v priebehu posledného desaťročia zabránilo nespočetným kybernetickým útokom. Ochrana zákona uľahčila varovania o hrozbách tisíckam organizácií len v tomto roku. Jeho potenciálny zánik hrozí spustením vlny kybernetických útokov, ktoré zničia malé a stredné podniky (SMB), ktoré tvoria základnú súčasť našej ekonomiky.
Zákon poskytuje zásadnú ochranu pred zodpovednosťou, ktorá povzbudzuje spoločnosti, aby zdieľali indikátory hrozieb s vládou a navzájom, a zároveň ponúka protimonopolnú ochranu pre spoluprácu medzi jednotlivými odvetviami. Bez týchto záruk sa rozsiahle zdieľanie informácií, vďaka ktorému sú americké siete bezpečnejšie, jednoducho zastaví.
Kríza malých a stredných podnikov na obzore
Dôsledky upustenia od CISA 2015 najviac postihnú malé a stredné podniky v Amerike. Nedávne údaje ukazujú, že ransomware stojí malé a stredné podniky v priemere 432 000 dolárov za útok. Tieto podniky nemajú hotovostné rezervy na prežitie dlhšieho výpadku. Mnohé z nich dokážu prežiť maximálne tri až štyri týždne prevádzkového výpadku, než čelia trvalému zatvoreniu.
Podľa analýzy odvetvia predstavujú malé a stredné podniky 98 % poistných udalostí v oblasti kybernetickej bezpečnosti, pričom celkové straty dosahujú 1,9 miliardy dolárov, čo zdôrazňuje ich zraniteľnosť v dnešnom ohrozenom prostredí. Expirácia CISA 2015 výrazne oslabí systém včasného varovania, ktorý pomáha podnikom udržať si náskok pred novými hrozbami. Bez schopnosti vlády zdieľať rozsiahle informácie o nových metódach útoku sa malé a stredné podniky stanú ľahkým terčom pre kybernetických zločincov, ktorí sa špecificky zameriavajú na organizácie, ktoré si nemôžu dovoliť stratiť dni alebo týždne.
Zdravotníctvo: Keď sa kybernetická bezpečnosť stáva otázkou života a smrti
Stávky sú obzvlášť vysoké v zdravotníctve, kde útoky ransomvéru neohrozujú len zisky, ale aj životy. Odborníci odhadujú, že útoky ransomvéru zabili 42 až 67 pacientov v rokoch 2016 až 2021. Tieto čísla predstavujú hrozivý trend: páchatelia hrozieb sa zámerne zameriavajú na nemocnice, pretože vedia, že zdravotnícke systémy zaplatia rýchlo, aby sa vyhli ohrozeniu pacientov.
Ak sa zdieľanie informácií po zániku CISA 2015 zhorší, nemocnice – a celá ostatná kritická infraštruktúra – veľmi pravdepodobne stratia zásadné včasné varovania o variantoch ransomvéru a iných metódach útoku. Keď sú ohrozené systémy nemocnice, rýchle zdieľanie informácií je dôležité. Minúty sa rátajú pri lekárskych pohotovostiach a oneskorenia môžu byť smrteľné.
Ekonomické dôsledky
Ekonomický dopad presahuje rámec jednotlivých spoločností. Malé a stredné podniky tvoria prevažnú väčšinu (99 %) podnikov v USA a zamestnávajú takmer polovicu pracovníkov súkromného sektora. Sú zodpovedné za 43,5 % nášho HDP, takže ich rozsiahly úpadok by vytvoril ničivé ekonomické dôsledky.
Americké technologické líderstvo závisí od rozsiahleho zdieľania informácií o hrozbách, ktoré CISA 2015 umožňuje. Naše spoločnosti zaoberajúce sa kybernetickou bezpečnosťou sú svetovými lídrami práve preto, že majú prístup ku komplexným údajom o hrozbách, ktoré im pomáhajú vyvíjať špičkové produkty a služby.
Iné krajiny modelovali zdieľanie informácií o kybernetickej bezpečnosti podľa nášho systému, pričom si uvedomujú, že americký prístup nám dáva konkurenčnú výhodu. Ak dovolíme, aby sa tento rámec zrútil, nielenže zvýšime zraniteľnosť jednotlivých podnikov, ale aj podkopeme základy amerického líderstva v oblasti kybernetickej bezpečnosti, ktoré sa iné štáty snažia napodobňovať.
Cesta vpred: Čistá opätovná autorizácia
Existuje zhoda medzi stranami, že CISA 2015 by mal byť opätovne schválený, pričom odborníci z celého politického spektra uznávajú jeho zásadný význam. Verejno-súkromné partnerstvá sa posilnili vďaka pokynom na zdieľanie informácií stanoveným v CISA 2015.
Najčistejšia cesta vpred je priamočiara opätovná autorizácia, zatiaľ čo Kongres pracuje na akýchkoľvek technických vylepšeniach. Základný rámec preukázal svoju hodnotu počas desaťročného fungovania, uľahčil zabránenie stratám v hodnote miliárd dolárov a vytvoril kultúru, v ktorej je zdieľanie informácií štandardom, a nie výnimkou.
Národný bezpečnostný imperatív
V ére politického rozdelenia zostáva kybernetická bezpečnosť jednou z mála oblastí, kde môžu Američania z celého politického spektra nájsť spoločnú reč. Musíme sa brániť proti neustálym útokom prichádzajúcim od čínskych aktérov používajúcich ransomware počas zraniteľností SharePoint až po iránske skupiny nasadzujúce ransomware ako politickú zbraň stovkám zločineckých skupín ransomvéru, ktoré fungujú v danom čase.
Riešením nie je viac regulácie alebo vládneho zásahu. Je to prístup spolupráce, ktorý CISA 2015 podporil. Princíp vzájomnej pomoci a spoločnej obrany urobil Ameriku silnejšou a nemôžeme si dovoliť ho teraz opustiť.
Kongres musí konať pred 30. septembrom. Ak dovolíme, aby sa náš rámec zdieľania informácií o kybernetickej bezpečnosti zrútil, zničí to malé podniky, ohrozí chorých a podkope pozíciu Ameriky ako globálneho lídra v oblasti kybernetickej bezpečnosti. Nastal čas konať, skôr ako sa útoky, ktorým sa dalo zabrániť, stanú katastrofami, ktoré sme nedokázali zastaviť.
Cynthia Kaiser
