Исполнительный указ Белого дома от марта 2025 года «Обеспечение эффективности через готовность на уровне штатов и местных органов власти» поднял вопрос первостепенной важности для национальной безопасности и критической инфраструктуры.
Как отмечено в указе, «федеральная политика должна справедливо признавать, что готовность наиболее эффективно принадлежит и управляется на уровне штатов, местных органов власти и даже отдельных граждан, при поддержке компетентного, доступного и эффективного федерального правительства».
Несмотря на заявления различных руководителей в сфере кибербезопасности о том, что мартовский ИУ является отступлением федерального центра в вопросах безопасности информационных технологий, имеет пробелы в финансировании и страдает от недостатка ясности в реализации и экспертизы на местном уровне, президент прав: именно местные юрисдикции находятся в наилучшем положении для прогнозирования своих потребностей в электронной безопасности, понимания уникальных слабостей, уязвимостей и рисков, а также для разработки и внедрения планов реагирования на инциденты, смягчения последствий и восстановления, основанных на их специфических обстоятельствах.
Конгресс тоже прав. В 2021 году он учредил Программу грантов для кибербезопасности штатов и местных органов власти (SLCGP) для «выделения грантов соответствующим структурам на устранение рисков и угроз кибербезопасности в отношении информационных систем, принадлежащих или управляемых штатами, местными или племенными правительствами, или от их имени».
SLCGP предусматривает выделение 1 миллиарда долларов в течение четырех лет для помощи правительствам штатов, местных органов власти, племенным и территориальным образованиям в снижении системных киберрисков и требует направления не менее 80 процентов этих средств местным органам власти, при этом 25 процентов средств резервируется для сельских юрисдикций. Ключевой компонент SLCGP связывает любое выделение средств с одобрением Агентством по кибербезопасности и защите инфраструктуры (CISA) плана кибербезопасности штата. Это предложение должно соответствовать требованиям, изложенным в SLCGP, таким как внедрение Руководящих принципов кибербезопасности Национального института стандартов и технологий (NIST).
В сентябре этого года Комитет по внутренней безопасности — при двухпартийной поддержке — представил Закон о защите информации местными лидерами для обеспечения устойчивости агентств (PILLAR Act, H.R. 5078), который направлен не только на продление SLCGP на 10 лет, но и на обеспечение долгосрочной стабильности и финансирования, усиление подотчетности на основе контрольных точек, расширение сферы его действия на искусственный интеллект (ИИ) и операционные технологии, а также на уточнение совместного несения расходов между федеральным правительством и правительствами штатов.
Совокупность мартовского ИУ 2025 года и SLCGP создает основу, которая будет успешной при их совместном применении. К сожалению, этого не произошло. В январе 2025 года Управление по вопросам управления и бюджета предписало всем федеральным ведомствам «временно приостановить всю деятельность, связанную с обязательствами или выделением всех видов федеральной финансовой помощи». Это фактически прекратило все выплаты по SLCGP, оставив его и Указ как не обеспеченные финансированием мандаты. Но на этом история не заканчивается. В рамках возобновления работы правительства в ноябре SLCGP был потенциально реанимирован, когда срок его полномочий был продлен до 30 января. Это имеет решающее значение.
Сейчас самое время действовать и полностью возродить SLCGP посредством Закона PILLAR. Поскольку наши противники уже внедрились в нашу критическую инфраструктуру (вспомним Salt и Volt Typhoon — продвинутых постоянных злоумышленников, связанных с правительством Китая), а недавнее развертывание ИИ в качестве киберсупероружия — как продемонстрировала недавняя демонстрация Anthropic того, как их Claude AI был скомпрометирован хакерами, спонсируемыми китайским государством, для проведения крупномасштабной атаки, осуществленной почти полностью агентами ИИ — штаты и местные юрисдикции становятся еще более уязвимыми. Это не просто вопрос финансирования; это вопрос национальной безопасности.
Не должно быть больших споров о том, будут ли штаты эффективно использовать SLCGP; у них уже есть данные. По состоянию на 1 августа 2024 года, по данным Счетной палаты правительства, «Министерство внутренней безопасности предоставило примерно 172 миллиона долларов в виде грантов 33 штатам и территориям», и «[г]ранты финансируют 839 проектов кибербезопасности штатов и местных органов власти, которые соответствуют основным функциям кибербезопасности, определенным [NIST]», включая разработку планов и политик кибербезопасности, привлечение подрядчиков по кибербезопасности, модернизацию оборудования и внедрение многофакторной аутентификации.
Принятие Закона PILLAR также расширит охват CISA, даже с учетом сокращения штата и ограниченных ресурсов, сделав его средством многократного увеличения эффективности, поскольку Агентство сможет сосредоточиться на надзоре — утверждении тактик кибербезопасности штатов, установлении стандартов, а также руководстве и мониторинге приоритетов, — в то время как правительства штатов, местные органы власти и племенные образования будут осуществлять повседневное внедрение.
В Законе PILLAR не упомянуто, но это практическое и легко реализуемое в рамках SLCGP действие, — это партнерство местных органов власти с частными и государственными университетами для доступа к потоку студентов, обученных стратегиям кибербезопасности (например, право, политика, управление рисками, управление) и новейшим технологиям, таким как искусственный интеллект, что приведет к снижению затрат для местных органов власти, получению практического опыта студентами, а также к построению сообщества и информационно-разъяснительной работе между местными властями и университетами.
Закон PILLAR пользуется двухпартийной поддержкой, а мартовский ИУ президента 2025 года подкрепляет все, что в нем содержится. Теперь у нас есть основа для обеспечения безопасности наших правительств на уровне штатов, местных органов власти и племенных образований. Давайте сделаем это немедленно, поскольку ставки никогда не были выше, и от этого зависит наша национальная безопасность.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Kevin Powers
