Departament Handlu może mieć problemy prawne jego propozycja wymagać firmom chmurowym do weryfikacji tożsamości swoich klientów i raportowania ich działań. Oczekujące rozporządzenie, stanowiące część wysiłków mających na celu ograniczenie niewłaściwego wykorzystywania usług w chmurze przez hakerów, spotkało się z krytyką branży za rzekome nadmierne wykorzystanie usług. Główna grupa handlu technologicznego ostrzegł Handel że „proponowane regulacje mogą przekroczyć uprawnienia regulacyjne przyznane przez Kongres”. (Commerce odmówił komentarza.)
Pozwy mogą również dotyczyć innych przepisów, w tym wymogów dotyczących zgłaszania naruszeń danych Federalna Komisja Handlu, Federalna Komisja ŁącznościI regulatorów finansowych—które opierają się na przepisach napisanych na długo przed tym, zanim decydenci zaczęli myśleć o cyberbezpieczeństwie.
„Wiele wyzwań powoduje, że agencje są najbardziej zdenerwowane [are] kiedy interpretują coś od 20 lat lub niedawno zinterpretowali coś, co ma 30 lat” – mówi cyberprawnik.
Biały Dom stanął już przed jedną poważną porażką. W październiku ubiegłego roku Agencja Ochrony Środowiska wycofał wymagania cybernetyczne dla systemów wodnych, które grupy branżowe i stany pod przewodnictwem Republikanów zakwestionowały w sądzie. Przeciwnicy twierdzą, że EPA przekroczyła swoje uprawnienia interpretując ustawę z 1974 r., która nakłada na stany obowiązek dodać cyberbezpieczeństwo do inspekcji obiektów wodociągowych – strategię zastosował czołowy urzędnik ds. cyberbezpieczeństwa Białego Domu wcześniej chwalony jako „podejście kreatywne”.
Wszystkie oczy zwrócone na Kongres
Rządowe wysiłki w zakresie regulacji cyberbezpieczeństwa prawdopodobnie wpadną w bagno sądowe.
Sędziowie federalni mogliby dojść do różnych wniosków na temat tych samych przepisów, wnosząc odwołania do regionalnych sądów okręgowych, które mają bardzo różne osiągnięcia. „Sam wymiar sprawiedliwości nie jest monolitem” – mówi Geiger z Centrum Polityki i Prawa Cyberbezpieczeństwa. Ponadto agencje znacznie lepiej rozumieją najnowsze technologie niż sędziowie, którzy mogą mieć trudności z analizą zawiłości przepisów cybernetycznych.
Zdaniem ekspertów istnieje tylko jedno realne rozwiązanie tego problemu: jeśli Kongres chce, aby agencje mogły wymagać ulepszeń w zakresie cyberbezpieczeństwa, będzie musiał przyjąć nowe przepisy upoważniające je do tego.
„Na Kongresie spoczywa teraz większy obowiązek podjęcia zdecydowanych działań, aby zapewnić ochronę kluczowych usług, na których opiera się społeczeństwo” – mówi Geiger.
Przejrzystość będzie kluczowa, mówi Jamil Jaffer, dyrektor wykonawczy Instytutu Bezpieczeństwa Narodowego Uniwersytetu George’a Masona i były urzędnik sędziego Sądu Najwyższego Neila Gorsucha. „Im bardziej szczegółowy jest Kongres, tym większe jest prawdopodobieństwo, że sąd spojrzy na to w taki sam sposób, jak agencja”.
Kongres rzadko uchwala istotne przepisy, zwłaszcza zawierające nowe uprawnienia regulacyjne, ale cyberbezpieczeństwo zawsze stanowiło wyjątek.
„Kongres porusza się bardzo, bardzo powoli, ale nie jest całkowicie pasywny [on] na tym froncie” – mówi Lilley. „Istnieje możliwość, że jeśli organy regulacyjne nie będą w stanie poczynić postępów, w poszczególnych sektorach pojawią się znaczące przepisy dotyczące cyberbezpieczeństwa”.
Jednym z głównych pytań jest to, czy postęp ten będzie kontynuowany, jeśli Republikanie przejmą jednolitą kontrolę nad rządem w listopadowych wyborach. Lilley jest optymistą, wskazując na Platforma GOPpowołuje się na zabezpieczenie infrastruktury krytycznej za pomocą podwyższonych standardów jako „priorytet narodowy”.
„Obydwie strony konfliktu mają obecnie poczucie, że z pewnością w niektórych sektorach wystąpiła pewna niedoskonałość rynku” – mówi Lilley – „i że odpowiednie będą pewne działania rządu”.
Niezależnie od tego, kto będzie kontrolował Kapitol w styczniu przyszłego roku, Sąd Najwyższy właśnie przekazał ustawodawcom ogromną odpowiedzialność w walce z hakerami.
„To nie będzie łatwe” – mówi Geiger – „ale nadszedł czas, aby Kongres zaczął działać”.
