Документ разрешает инфраструктурным компаниям США, в частности, энергопроизводителям, оборонным компаниям и банковскому сектору самостоятельно устанавливать на своих предприятиях нормы противодействия кибератакам в дополнение к уже существующим федеральным стандартам безопасности.
Одновременно документ предполагает обмен информацией о киберугрозах между спецслужбами и частными компаниями США.
Кроме того, Национальный институт технологических стандартов США совместно с инфраструктурными компаниями в течение 240 дней после подписания указа должны разработать основные положения национальных стандартов кибербезопаности.
Принятие указа о кибербезопасности было чрезвычайно важно для администрации Обамы, о чем можно судить по времени его подписания: в день ежегодного доклада президента Конгрессу.
Вообще кибербезопасность оказалась одной из главных тем доклада Обамы перед Конгрессом: «Мы знаем, что хакеры похищают персональные данные людей и взламывают личную электронную почту. Мы знаем, что зарубежные государства и компании крадут сведения, составляющие наши корпоративные тайны. Сегодня наши враги пытаются найти возможность нарушить работу наших энергосетей, финансовых институтов и систем управления воздушным транспортом. Мы уже не можем оглядываться на прошедшие годы и задаваться вопросом, почему мы ничего не сделали перед лицом реальных угроз нашей безопасности и экономики».
Это рамочный документ, и его подписание еще не означает, что обмен разведывательной информацией между спецслужбами и частным сектором начнется сию секунду, однако он - начало создания новой системы кибербезопасности.
Не прошло и суток с момента подписания указа Обамы о кибербезопасности, как его заподозрили в покушении на частную жизнь
Конечно, передача разведданных о кибератаках и угрозах поможет защитить американскую инфраструктуру, такую как частный сектор оборонки, инженерных коммуникаций и банковские организации, пишет ZDNet, однако, качество проработки документа вызывает серьезные опасения.
Так, в документе не определен ряд основополагающих терминов. Из него, к примеру, непонятно, что такое «киберугроза» и «кибервторжение». Это заставляет предположить, что объектом деятельности спецслужб США станут все самодеятельные «хактивисты», участвующие в протестных DDoS-атаках, а также невольные участники DDoS-атак, чьи компьютеры поражены троянами.
Издание обращает внимание, что отсутствие в тексте указа Обамы упоминания электронной почты, IP-адресов и иной технологической терминологии создает почву для слишком вольного толкования документа и злоупотреблений тех, кто будет его исполнять.
Вообще, как обращает внимание Зак Уиттейкер (Zack Whittaker) из издания ZDNet, от Белого дома не получены разъяснения, как именно при исполнении указа будет защищена частная жизнь граждан. В «Информационном бюллетене», который в день подписания указа выпустила администрация Обамы, нет ни единого упоминания о конфиденциальности и гражданских свободах. Впрочем, надеется он, у Конгресса США еще есть время, чтобы заполнить законодательные пробелы.
Поскольку указ Обамы обязывает спецслужбы США сообщать инфраструктурным компаниям всю поступающую информацию об угрозах, а передаваемые документы будут распространяться без грифа «секретно», то наряду с рассекреченными документами в руки частных компаний попадут и секретные данные спецслуужб. Эти документы будет трудно контролировать и оберегать от несанкционированного доступа, опасается Huffington Post.
Нынешний указ Обамы - это вторая попытка админимтрации США принять закон о кибербезопаности после того, как в августе 2012 г. республиканцы в Сенате США отвергли законопроект CISPA (Cyber Intelligence Sharing and Protection Act), который расширял возможности спецслужб в борьбе с нелегальным контентом в интернете, а также предоставлял частным организациям новые полномочия для борьбы с киберпреступностью.
Противники CISPA в Сенате опасались, что закон потребует разработки большого числа стандартов и нормативных документов, которые будут тормозить развитие частного бизнеса.