В документе за подписью президента США Байдена упомянуты практически все современные проблемы кибербезопасности — от уязвимостей в программном обеспечении и инфраструктуре Интернета до дефицита квалифицированных специалистов. Для их решения, говорится в документе, необходимо фундаментально изменить распределение ролей, ответственности и ресурсов в киберпространстве.
Нести ответственность за безопасность должны не столько частные лица, малые компании и местные органы власти, сколько организации, располагающие наибольшими возможностями для борьбы с угрозами в общих интересах, то есть, в том числе, разработчики программного обеспечения — этот принцип будет одним из главных принципов национальной стратегии кибербезопасности. Стратегия предусматривает также введение минимальных требований к кибербезопасности в критически важных секторах.
Документ описывает пять стратегически важных направлений: защита критически важной инфраструктуры, препятствование деятельности и ликвидация субъектов угроз, формирование рыночных стимулов для обеспечения безопасности и устойчивости, инвестиции в устойчивое будущее и развитие международного партнерства для достижения общих целей.
Для борьбы с угрозами стратегического уровня, исходящими от других государств и негосударственных организаций, министерству обороны предлагается разработать новую стратегию. В частности, для борьбы с вымогательскими программами (которые в администрации президента считают угрозой национальной безопасности) будет создана совместная оперативная группа, в руководство которой войдут представители Агентства по кибербезопасности и защите инфраструктуры (CISA).
Разработчики программного обеспечения обычно полностью отказываются от ответственности за безопасность своих продуктов, что еще в большей степени лишает их стимулов соблюдать в разработке принципы безопасности. Администрация намерена на законодательном уровне освободить разработчиков от ответственности — но при условии соблюдения ими утвержденных принципов безопасности, основанных на принципах разработки безопасного программного обеспечения, созданных в Национальном институте по стандартизации и технологии (NIST) и других документах.
Стратегия предусматривает инвестиции в образовательные программы в области кибербезопасности и проекты по решению проблем базовых технологий Интернета — уязвимостей протокола пограничного шлюза (BGP), незашифрованных запросов к системе доменных имен (DNS) и медленного внедрения IPv6. Наконец, стратегия призывает к сотрудничеству между государственными и частными организациями, повышению оперативности в обмене информацией об угрозах и созданию международных коалиций для совместного надзора за соблюдением норм ответственного поведения на государственном уровне с помощью дипломатических, экономических и юридических мер, санкций и противодействия в киберпространстве.
Эксперты в основном положительно отзываются о стратегии, но выражают сомнения в том, что властям удастся выполнить такую масштабную программу в полном объеме.