Elavult a kritikus infrastruktúrák védelmének rendszere
A Cyber Solarium szerint elavult és alkalmatlanná vált arra, hogy megfeleljen a mai követelményeknek az egy évtizedes elnöki irányelv, amely meghatározza, hogy a magánszektornak hogyan kell védenie a kritikus infrastruktúrákat, például az áramszolgáltatókat és a gyártóüzemeket. A dokumentum – a 2013-as Presidential Policy Directive 21, azaz PPD-21 – meghatározta, hogy mely ügynökségek felelősek a 16 kritikus infrastruktúra-ágazatok védelmének irányításáért, amelyeket ma ágazati kockázatkezelési ügynökségek (SRMA) néven ismerünk. A CSC 2.0, a Cyberspace Solarium Commission utódszervezete által szerdán közzétett jelentés szerint a szövetségi kormány többet tehetne az ügynökségek és az ipar által levont tanulságok alkalmazása érdekében. A Biden-kormányzat jelenleg a dokumentum felülvizsgálatán dolgozik. „A PDD-21 felülvizsgálata, valamint az olyan események hatása, mint a Colonial Pipeline incidens és az Ukrajnában zajló háború lehetőséget kínál arra, hogy átgondoljuk, hogyan alakítsuk át a biztonsági kapcsolatokat, és ezt úgy tegyük, hogy valóban előre tekintünk, és azt mondjuk: OK, ezek azok a problémák, amelyekkel az elmúlt 10 évben találkoztunk. Oldjuk meg, de oldjuk meg a következő 10 évre és az azt követő időszakra is” – mondta Mary Brooks, a Wilson Központ munkatársa és a jelentés társszerzője. A CSC 2.0 egy tucat ajánlást fogalmaz meg az irányelv átdolgozására vonatkozóan. Az új dokumentumnak tisztáznia kellene a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) szerepét, mint nemzeti kockázatkezelési ügynökség. Nemcsak a kritikus infrastruktúra-ágazatokat, hanem azok alágazatait is meg kellene határozni és eljárást kellene kidolgozni az irányelv rendszeres frissítésére.