Верховний суд США зіпсував всі плани адміністрації Байдена, які стосувалися наведення ладу у сфері кібербезпеки критичної інфраструктури. Хакерські атаки, злами та навала програм-вимагачів стимулювала зусилля Білого дому підняти планку кібербезпеки в державному і приватному секторах. Але багато організацій не змогли самостійно впровадити базові практики безпеки, такі як багатофакторна автентифікація.
Днями Верховний суд скасував доктрину Chevron deference. Вона діяла 40 років і надавала виконавчим органам юридичну перевагу в інтерпретації законів, які вони зобов’язані виконувати. Тож тепер Конгрес і суди відповідатимуть за прийняття рішень про те, як відомства інтерпретуватимуть і застосовуватимуть як існуючі, так і майбутні закони.
Це повністю зіпсує стратегію виконавчої влади, яка намагалася зобов’язати різні організації користуватися базовими правилами кібербезпеки за допомогою нових інтерпретацій чинного законодавства. Адміністрація Байдена останні три роки досить творчо підходила до інтерпретації правил існуючих відомств, щоб застосувати їх до вимог кібербезпеки. Чиновники не чекали, поки Конгрес надасть відомствам прямі повноваження для запровадження базових практик кібербезпеки.
Як говорять експерти з кіберполітики, минулі правила безпеки також залежали від вільного тлумачення існуючих законів. І минулого року цей регуляторний підхід вже зіткнувся з судовою протидією. Агентство з охорони навколишнього середовища спробувало додати питання про кібербезпеку до обов’язкових перевірок шляхом переосмислення Закону про безпечну питну воду. Його оскаржили в судовому процесі, очолюваному Республіканською партією, і Агенство скасувало це правило.
“Система була зламана ще до скасування Chevron, – говорить директор Cyberspace Solarium Commission Марк Монтгомері. – Але це все ускладнить. Стане складніше, адже Конгрес погано підготовлений до написання нормативних документів”.
Річ у тому, що кілька секторів критичної інфраструктури взагалі не мають законодавчих вимог щодо запровадження базових правил кібербезпеки. Частково це пов’язано з тим, що деякі відомства не ставляться до своїх обов’язків як кіберрегуляторів настільки серйозно, наскільки це необхідно. Наприклад, Міністерства освіти чи сільського господарства не просили достатньо коштів, щоб найняти багато фахівців з кібербезпеки або створити якісь грантові програми.
Це рішення може вплинути на поточні зусилля з регулювання кіберпростору. Запропоноване Агентством з кібербезпеки та безпеки інфраструктури правило, яке зобов’язує організації критичної інфраструктури повідомляти про кіберінциденти протягом 72 годин, включає деякі широкі інтерпретації нового закону, який тепер, можливо, доведеться скасувати. А Білий дім натякає на впровадження нових базових вимог до кібербезпеки лікарень, які, можливо, тепер доведеться переглянути.
Читайте також: