Указ 14028
Указ 14028 (официальное название — «Указ об улучшении кибербезопасности страны», англ. Executive Order on Improving the Nation’s Cybersecurity) — нормативный правовой акт, подписанный президентом США Джо Байденом 12 мая 2021 года. Документ направлен на модернизацию подходов к обеспечению кибербезопасности федеральных информационных систем, усиление защиты цепочки поставок программного обеспечения и повышение требований к отчётности о киберинцидентах. Указ стал ответом на серию крупных кибератак на государственные и частные структуры США, в том числе на атаку с использованием программы-вымогателя на компанию Colonial Pipeline.
Предпосылки принятия
В 2020–2021 годах в США произошёл ряд резонансных кибератак, выявивших системные уязвимости в защите критической информационной инфраструктуры. В декабре 2020 года была обнаружена атака на цепочку поставок программного обеспечения через платформу SolarWinds Orion, в результате которой злоумышленники получили доступ к сетям нескольких федеральных агентств, включая Министерство финансов, Министерство внутренней безопасности и Министерство энергетики. В марте 2021 года была раскрыта уязвимость Microsoft Exchange Server, затронувшая десятки тысяч организаций по всему миру. В мае 2021 года атака программы-вымогателя DarkSide на Colonial Pipeline привела к временной остановке поставок топлива на восточном побережье США, вызвав панику и дефицит.
Эти инциденты продемонстрировали недостаточную координацию между федеральными ведомствами, отсутствие единых стандартов кибербезопасности и слабый контроль за безопасностью программного обеспечения, используемого государственными органами.
Основные положения
Модернизация подходов к кибербезопасности федеральных систем
Указ предписывает федеральным агентствам перейти от реактивной модели безопасности к проактивной, основанной на принципах «нулевого доверия» (Zero Trust). Согласно документу, все агентства обязаны в течение 60 дней разработать планы по внедрению архитектуры нулевого доверия, а также перейти на использование многофакторной аутентификации и шифрования данных.
Требования к программному обеспечению
Одним из ключевых нововведений стало ужесточение требований к безопасности программного обеспечения, поставляемого федеральному правительству. Указ предписывает Национальному институту стандартов и технологий (NIST) разработать руководящие принципы для безопасной разработки программного обеспечения. Среди них:
- обязательное предоставление заказчику полного списка используемых компонентов и зависимостей (Software Bill of Materials, SBOM);
- требование к разработчикам подтверждать соответствие своих продуктов стандартам безопасности, включая тестирование на уязвимости и отсутствие вредоносного кода;
- внедрение практик безопасной разработки, включая автоматизированное тестирование и анализ кода.
Создание Совета по обзору кибербезопасности
Указ учреждает Совет по обзору кибербезопасности (Cybersecurity Review Board) при Министерстве внутренней безопасности. Совет должен расследовать крупные киберинциденты, выявлять их причины и давать рекомендации по предотвращению подобных атак в будущем. В состав Совета входят представители федеральных агентств, частного сектора и научных кругов.
Усиление координации и отчётности
Документ обязывает федеральные агентства в течение 24 часов сообщать о любых киберинцидентах, затрагивающих их информационные системы, в Агентство по кибербезопасности и безопасности инфраструктуры (CISA). Кроме того, указ требует от поставщиков программного обеспечения немедленно уведомлять CISA о любых выявленных уязвимостях в их продуктах.
Повышение безопасности цепочки поставок
Указ предписывает Министерству торговли и Министерству внутренней безопасности разработать критерии оценки безопасности цепочки поставок для информационных технологий и операционных технологий. Особое внимание уделяется поставщикам, связанным с иностранными государствами, которые могут представлять угрозу национальной безопасности.
Реализация и последствия
Внедрение в федеральных агентствах
В течение 2021–2023 годов федеральные агентства США начали поэтапное внедрение требований указа. CISA выпустило серию руководств по переходу на архитектуру нулевого доверия, а NIST опубликовало обновлённые стандарты безопасной разработки программного обеспечения (SP 800-218). В 2022 году был создан Совет по обзору кибербезопасности, который провёл расследование атаки на SolarWinds и инцидента с Log4j.
Влияние на частный сектор
Хотя указ напрямую регулирует только федеральные закупки, его положения оказали значительное влияние на всю индустрию информационной безопасности. Многие крупные компании, включая поставщиков облачных услуг и разработчиков программного обеспечения, добровольно приняли стандарты, рекомендованные NIST, чтобы сохранить конкурентоспособность на рынке государственных контрактов. Введение SBOM стало отраслевым стандартом для многих производителей ПО.
Международный резонанс
Указ 14028 вызвал широкий международный резонанс. В 2021–2022 годах ряд стран, включая страны Европейского союза, Японию и Австралию, приняли аналогичные нормативные акты, направленные на усиление кибербезопасности государственных информационных систем и цепочек поставок. В России в 2022 году был принят Указ Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который также ужесточил требования к безопасности критической информационной инфраструктуры.
Критика
Указ 14028 подвергался критике по нескольким направлениям. Представители частного сектора отмечали, что требования по предоставлению SBOM и обязательному тестированию на уязвимости могут быть слишком обременительными для малых и средних компаний-разработчиков. Некоторые эксперты указывали на недостаточную конкретизацию критериев для оценки безопасности цепочки поставок, что создаёт риск субъективных решений при выборе поставщиков. Кроме того, высказывались опасения, что указ может привести к монополизации рынка государственных закупок крупными корпорациями, способными выполнить все требования, в ущерб небольшим инновационным компаниям.
Источники
- Executive Order on Improving the Nation’s Cybersecurity (2021). The White House.
- National Institute of Standards and Technology (NIST). Secure Software Development Framework (SSDF) SP 800-218.
- Cybersecurity and Infrastructure Security Agency (CISA). Zero Trust Maturity Model (2022).
- Cybersecurity Review Board. Report on the SolarWinds Attack (2022).
- Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →