Stručnjaci za cyber sigurnost izražavaju zabrinutost zbog nedavne izvršne naredbe koju je izdao Bijela kuća, a koja ukida zahtjeve za: osiguranje softvera koji koristi vlada, kažnjavanje osoba koje kompromitiraju osjetljive mreže, pripremu novih shema enkripcije koje će izdržati napade kvantnih računala i druge postojeće kontrole.
Izvršna naredba (EO), izdana 6. lipnja, poništava nekoliko ključnih naredbi o cyber sigurnosti koje je postavio predsjednik Joe Biden, od kojih su neke bile na snazi samo nekoliko dana prije završetka njegovog mandata u siječnju. Izjava koja je pratila Trumpovu EO navela je da su Bidenove smjernice ‘pokušale uvući problematična i ometajuća pitanja u politiku cyber sigurnosti’ i da su predstavljale ‘političku igru’.
Specifične naredbe koje je Trump ukinuo ili ublažio uključivale su one koje su nalažu (1) saveznim agencijama i izvođačima da usvoje proizvode s kvantno-sigurnom enkripcijom kada postanu dostupni na tržištu, (2) strogi Okvir razvoja sigurnog softvera (SSDF) za softver i usluge koje koriste savezne agencije i izvođači, (3) usvajanje metoda otpora na phishing, poput WebAuthn standarda za prijavu u mreže koje koriste izvođači i agencije, (4) implementaciju novih alata za osiguranje internetskog usmjeravanja putem Protokola granice usmjeravanja i (5) poticanje digitalnih oblika identiteta.
U mnogim aspektima, izvršne naredbe su barem toliko performativne kao što su i sredstvo za stvaranje ispravne politike. Bidenove smjernice o cyber sigurnosti većinom su bile u ovom drugom kampu. Na primjer, odredbe o okviru razvoja sigurnog softvera proizašle su iz katastrofalnih posljedica napada na opskrbni lanac SolarWinds 2020. godine. Tijekom tog događaja, hakeri povezani s ruskom vladom provalili su u mrežu široko korištene usluge u oblaku, SolarWinds, i distribuirali zloćudnu nadogradnju koja je omogućila pristup više od 18.000 korisnika, od kojih su mnogi bili izvođači i agencije savezne vlade.
U odgovoru na to, Bidenova EO zahtijevala je od Agencije za cyber sigurnost i sigurnost infrastrukture da uspostavi ‘zajednički obrazac’ za samoizvještavanje da organizacije koje prodaju kritični softver saveznim agencijama poštuju odredbe u SSDF-u. Izvještaj je trebao doći od službenika tvrtke. Trumpova EO uklanja taj zahtjev i umjesto toga naređuje Nacionalnom institutu za standarde i tehnologiju (NIST) da stvori referentnu sigurnosnu implementaciju za SSDF bez daljnjeg zahtjeva za izvještajem.
