رهیافتهای کلّی
سازمان شما، چه خصوصی باشد و چه دولتی، تأثیر راهبرد جدید امنیت سایبری ملّی را احساس خواهید کرد. این راهبرد بهصراحت بیان میکند که:
- حداقل الزامات امنیت سایبری در تمام صنایع افزایش مییابد.
- تکنولوژی یک زیرساخت حیاتی به حساب میآید.
- حفاظت از تکنولوژی یک ضرورت امنیت ملّی است.
- شرکتهای خصوصی عنصر مهمی در امنیت ملّی هستند.
آنچه در زیر میآید شرح کوتاهی است از پنج رکن اصلی راهبرد جدید امنیت سایبری ملّی آمریکا.
رکن اول: دفاع از زیرساختهای حیاتی
در کشورهایی مانند ایالات متحده، تکنولوژی[های] بخش خصوصی زیربنای خدمات حیاتی ارائهشده به شهروندان را تشکیل میدهد. تاکنون، مسئولیت حفاظت از این تکنولوژی بر عهدۀ شرکتهای خصوصی بوده است. راهبرد جدید دولت بایدن حاکی از این است که دولت فدرال قصد دارد موضع قویتری برای ارزیابی و الزام [دیگران به اجرای] آن اتخاذ کرده و در برخی موارد خود مستقیماً وارد عمل شود.
هدف استراتژیک 1.1 – تحقق الزامات امنیت سایبری برای حراست از امنیت ملّی و امنیت عمومی
زیرساختهای حیاتی هدفی ایدئال برای [حملۀ] دولت–ملّتهای متخاصم و سایر بازیگران خرابکار هستند. تا پیش از این، شرکتهای و کمپانیهای حوزۀ نفت، گاز طبیعی، حملونقل هوایی و راهآهن الزامات امنیت سایبری را کموبیش مراعات میکردند؛ اما اکنون قرار است همۀ متولیانِ زیرساختهای حیاتی کشور به این ضوابط و شرایط پایبند باشند. سازمان امنیت سایبری و امنیت زیرساخت (سیسا)[۱] فهرستی از اصلیترین تأمینکنندگان زیرساختهای حیاتی کشور [که باید این ضوابط و الزامات را در پیش بگیرند] تهیه کرده است. بااینحال، شکی نیست که در آینده با آشکارترشدن وسعت ابعاد تهدیدی که از جانب حملات سایبری در کمین امنیت ملّی آمریکاست، دامنۀ این ضوابط و مقررات بیشازپیش گسترش پیدا خواهد کرد.
هدف استراتژیک 1.2 – گسترش همکاری عمومی و خصوصی
دولت در جهت تعمیق و تحکیم تعاملات و مشارکتها، بهدنبال ایجاد همکاری میان سازمان سیسا، سازمانهای مدیریت ریسکِ بخشمحور[۲]، و سازمانهای بخش خصوصی است. به احتمال زیاد این همکاری بیشتر حول محور اشتراکگذاری اطلاعات [مربوط به] تهدیدات شکل خواهد گرفت که در رکن دوم بهتفصیل به آن پرداخته شده است.
هدف استراتژیک 1.3 – یکپارچهسازی مراکز امنیت سایبری فدرال
دولت آمریکا بهدنبال این است که –به پیشنهاد کمیسیون سولاریوم فضای سایبری[۳]– مرکز سایبری یکپارچۀ عمومی–خصوصی را در سازمان سیسا تأسیس کرده و به این واسطه، سعی در توزیع متوازنِ مسئولیت برنامهریزی و اجرای عملیات دفاع سایبری در میان بخش عمومی و خصوصی و نیز شرکای بینالمللی داشته باشد. این اقدام در عمل بدان معناست که نقش سازمان سیسا –بهعنوان متولیِ اصلی زیرساختهای حیاتی در سطح ملّی که دارای بازوی قانونیِ افبیآی بوده و پتانسیلهای گردآوری و تحلیل داده سازمانهای اطلاعاتیِ کشور را نیز در اختیار دارد– پررنگتر و برجستهتر خواهد شد.
هدف استراتژیک 1.4؛ بهروزرسانی طرحها و روالهای فدرالِ واکنش به سوانح
سازمانهای بزرگ بخش خصوصی دارای برنامههای جامع واکنش به حوادث و دستورالعملهایی در این مورد هستند که در هنگام وقوع حوادث، در اکوسیستم واکنش به حوادث باید به سراغ کدام بخش بروند؛ البته طبیعتاً بهجز نیروهای انتظامی و امدادی. تعداد سازمانهایی که خود را مسئول اینگونه موارد میدانند (در کنار تمامی شعب و دفاتر میدانیِ آنها) بسیار زیاد بوده و عامل سردرگمی مسئولین امنیتی شده است. این هدف بهدنبال این است که فرآیند اطلاعرسانی به مراجع ذیصلاح را تسهیل کند، تا از انتقال درست اطلاعاتِ مربوط به حادثه به مرجعِ درست اطمینان حاصل کند.
هدف استراتژیک 1.5 – مدرنسازی دفاع فدرال
همانطور که انتظار میرود، معماریِ «اعتماد صفر» همچنان در عرصۀ امنیت سایبری فدرال از اهمیت برخوردار است. سازمانهای فدرال غیرنظامی، سازمان برنامه و بودجه، و اخیراً وزارت دفاع دستورات اجرایی و بیانیههایی صادر کردهاند که مراحل و زمانبندی عملیاتیکردن معماریِ «اعتماد صفر» در سیستمهای فدرال را شرح میدهد. در این میان، امنیت دادهها بهدرستی حائز بیشترین اهمیت است؛ چراکه دادهها محور معماریِ «اعتماد صفر» هستند و امنیت آنها باید فراتر از سطح متعارف باشد. در این راهبرد تأکید دوبارهای بر سیستمها و شبکههای تکنولوژیهای عملیاتی[۴] شده است، چراکه رویکردهای امنیتی و شبکهای معمولاً میل به کنارگذاشتنِ آنها داشتهاند. فورستر[۵] معتقد است که چشمانداز کاربرد تجاری معماریِ اعتماد صفر تغییر خواهد کرد؛ زیرا سازمانها نهتنها مزایای این معماری را تشخیص میدهند، بلکه آن را بهعنوان هزینهای میبینند که برای تجارت با دولت فدرال ایالات متحده باید بپردازند.
رکن دوم: مختلکردن و ازبینبردن بازیگران تهدید
حملات سایبری درحال حاضر خارج از کنترل دولت فدرال است. هدف این رکن این است که با تحمیلِ هزینۀ بیشتر به عاملینِ حملات، زمین بازی را قدری متوازنتر کند؛ همچنین همکاری بین بخش خصوصی و عمومی را بهبود بخشیده و ضوابط و الزامات اطلاعرسانیِ حملات را گسترش دهد.
هدف استراتژیک 2.1 – ادغام فعالیتهای اخلالگرانۀ فدرال
هدف دولت ما این است که هزینۀ حملات سایبری را تا آنجا بالا ببرد که دیگر نه سودآور باشد و نه ابزار مناسبی باشد که دولتها[ی متخاصم] ازطریق آنها و بهواسطۀ کارزارهای اخلالگر، بهدنبال دستیابی به اهداف خود باشند. برخی از مکانیسمهای امنیتی درحال حاضر از این رویکرد استفاده میکنند، ازجمله استفاده از ابزارهای «مدیریت ربات» برای افزایش هزینههای حملات رباتی. بااینحال، هدف استراتژیکِ 1/2 بهدنبال تلاشی گستردهتر و جامعتر برای اخلال در تکنولوژیهای ترکیبی و نیز اجرای معماری «اعتماد صفر» برای مقاومسازیِ زیرساختها است.
هدف استراتژیک 2.2 – تقویت همکاری عملیاتی عمومی و خصوصی برای برهمزدن دشمنان
دولت فدرال پذیرفته است که دانش و اطلاعاتِ بخش خصوصی از عوامل تهدید بیشتر از آن چیزی است که دولت بهتنهایی قادر به دستیابی به آن باشد؛ و به همین دلیل، بهدنبال این است که ازطریق طرحها و برنامههایی از قبیل اتحاد ملّی سایبری قانون و آموزش[۶]، همکاری با بخش خصوصی را گسترش دهد. اگر این همکاری بهخوبی انجام شود، قابلیتِ این را دارد که پتانسیل اطلاعاتیِ مشترکِ بخش خصوصی و عمومی درمورد تهدیدها را ارتقا دهد. بااینحال، چیستی و چگونگیِ این [قدرت] اطلاعاتی درمورد تهدیدها را باید در عمل قضاوت کرد.
هدف استراتژیک 2.3 – افزایش سرعت و مقیاس اشتراکگذاری اطلاعات و هشدار به قربانیان
اهمیتِ اطلاعرسانی درمورد حملات بسیار بیشتر از سایر الزامات قانونی است. نحوۀ پاسخگویی و ارتباط سازمانها با ذینفعان درمورد حمله به دادهها و سایر رویدادهای مخرّب –مانند فعالیتهای باجافزاری– شرایط لازم برای ترمیم صدماتِ وارده را مهیا میکند.
هدف استراتژیک 2.4 – جلوگیری از سوءاستفاده از زیرساختهای مستقر در ایالات متحده
ارائۀ دهندگانِ زیرساخت –بهمثابه– خدمت[۷] باید استانداردهای بالاتری را در سرعتِ اطلاعرسانی درمورد حملات سایبری و واکنش در برابر آنها احراز کنند. این دسته از خدماتدهندگان از این به بعد در زمرۀ «زیرساختهای حیاتی» در نظر گرفته خواهند شد.
هدف استراتژیک 2.5 – مقابله با جرائم سایبری، شکست باجافزار
دولت برای دفاع از جرائم سایبری و باج افزار رویکردی چهار جانبه دارد:
- همکاری بینالمللی
- تحقیقات اجرای قانون از بازیگران باجافزار
- تابآوری زیرساختهای حیاتی
- رسیدگی به سوءاستفاده از ارز مجازی
نکتۀ مهم این است که دولت بهصراحت اعلام نمیکند که پرداختهای باجافزار کنترل یا محدود میشود؛ درحالیکه در عمل چنین اقدامی بهشدت تحت فشار قرار خواهد گرفت. در نهایت، این راهبرد میزان گزارشدهیِ حوادث باجافزاری به مجریان قانون را افزایش خواهد داد.
رکن سوم: شکلدادنِ نیروهای بازار برای ایجاد امنیت و تابآوری
این رکن بر مسئولیتپذیری و مشوّقها تأکید میکند: مکانیسم هویج و چماق در حوزه مسائل مالی، برای افزایش امنیت و تابآوری در اکوسیستم تکنولوژی ایالات متحده.
هدف استراتژیک 3.1 – مسئولین اطلاعات خود را مسئول نگه دارید
سازمانهایی که دادههای شخصی را جمعآوری کرده، نگهداری و بهرهبرداری میکنند، مسئولیت حفاظت از آن دادهها و حقوق حریم خصوصی افراد را نیز بر عهده دارند. این مسئولیت نه فقط یک تعهد نظارتی، بلکه مبنایی است برای ایجاد اعتماد و تمایز رقابتی در دنیای دیجیتال.
هدف استراتژیک 3.2 – مدیریتِ توسعۀ امنِ دستگاههای اینترنت اشیاء
دستگاههای اینترنت اشیاء (IoT) در سازمانها و صنایع مختلف در ابعاد متفاوت، موقعیتهای مکانیِ گوناگون، و برای انجام وظایف متنوع مورد استفاده قرار میگیرند. این دسته از ابزارها بهدلیل سابقۀ امنیت سایبری ضعیف در مراحل طراحی و عملیاتیشدن، تبدیل به هدف اصلی حملات [سایبری] شدهاند. تغییر این امر مستلزم آن است که دستگاههای جدید از اساس بهنحوی ایمن طراحی و ساخته شوند و رویههای امنیتی مربوط به شبکه و دستگاهها را در پیش بگیرند؛ رویههایی که کسانی است که از داخل و یا خارج سازمان میتوانند به این دستگاهها متصل شوند.
هدف استراتژیک 3.3 – تغییر مسئولیت محصولات و خدمات نرمافزاریِ ناامن
این راهبرد شرکتها را مسئول خطاها و نقصهای امنیتی در محصولات و خدمات آنها میداند. با این تغییر، تأمین امنیتِ محصولات نهتنها تبدیل به یک دستورکار راهبردی برای مدیران سطح بالای حوزۀ تکنولوژیهای اطلاعاتی و ارتباطی میشود، بلکه از این به بعد بهعنوان یک تمهیدِ دفاعی برای محافظت از کسبوکار آنها تلقی خواهد شد. شرکتها همچنین مسئول هرگونه عنصر منبع باز یا [تولیدشده توسط] طرفِ ثالث هستند که در درون محصول آنها مونتاژ، بستهبندی و استفاده میشود. گنجاندن یک ابزار تجزیهوتحلیل اجزاء نرمافزار[۸] در چرخۀ توسعۀ آن نرمافزار باعث آگاهی بیشتر نسبت به خطراتِ دیتابیسهای [مربوط به] طرف ثالث خواهد شد. این ابزار یک «لیست اجزاء نرمافزار[۹]» تولید میکند که میتواند بهعنوان مدرکی دال بر شیوههای امنِ بهکاررفته در طراحی و توسعۀ آن نرمافزار در نظر گرفته شود.
هدف استراتژیک 3.4 – از کمکهای مالی فدرال و سایر مشوّقها برای ایجاد امنیت استفاده کنید
اکنون با حمایتهای مالیای که دولت خود را موظف به ارائۀ آنها کرده است، بهترین زمان برای شرکتهاست تا بلوغ برنامههای امنیتی محصولات خود را سنجیده و نقشۀ راهی برای بهبود امنیت در هر مرحله از چرخۀ عمر محصولات طراحی کنند. شرکتها میبایست برای محصولات جدید و نمونههای اولیه از اصول حداقلیِ امنیت پایدار تبعیت کنند تا از این مسئله اطمینان حاصل کنند که از نخستین گام، براساس اصول امنیتی پیش میروند.
هدف استراتژیک 3.5 – بهرهگیری از امکانات فدرال برای افزایش مسئولیتپذیری
دولت فدرال در راستای ایجاد مسئولیت و پاسخگویی در شرکتها در قبال محصولات و خدمات نرمافزاریِ خود، اقدام به استفاده از الزامات و شروطی میکند که در قراردادهایی که با این شرکتها منعقد میشود، ثبت شدهاند. حربۀ «انکار موجّه[۱۰]» دیگر بهلحاظ قانونی معتبر نیست؛ اگر شرکتی تعهد قراردادی به دولت داشته باشد، موظف است که به الزامات امنیت سایبری که در آن ذکر شده پایبند باشد. ارائۀ آگاهانۀ محصولات معیوب، ارائۀ نادرست شیوههای امنیتی، یا عدم نظارت و گزارش حوادث سایبری میتواند منجر به طرح دعاوی مدنی از جانب وزارت دادگستری تحت قانون ادعاهای دروغین[۱۱] شود.
هدف استراتژیک 3.6 – کاوش در زمینۀ بیمۀ سایبری فدرال
بیمۀ سایبری یکی از اجزای یک راهبرد چندلایۀ امنیت سایبری و مدیریت ریسک است. محیط امروزی با خطرات سیستمی که ناشی از رویدادهای جهانی، تهدیدات ژئوپلیتیکی، و ریسکهای [مربوط به] طرف ثالث هستند، بر همۀ سازمانها و همچنین بازار بیمۀ سایبری تأثیر میگذارد. یکی از نیازهای امروز این است که دولت فدرال از بازار موجودِ بیمۀ سایبری حمایت کند. بااینحال، ممکن است این نوع یارانه هزینههای هنگفتی را به دولت تحمیل کند. اگر از این مرحلۀ اکتشافی به سمت مرحلۀ عملیاتیسازی حرکت کنیم، احتمالاً در آینده اصلاحاتی لازم خواهد بود. درعینحال، سازمانها باید به واقعیت فعلی پویاییِ بازار بیمۀ سایبری و الزامات سختگیرانۀ فزاینده برای دریافت بیمهنامههای سایبری تن دهند.
رکن چهارم: سرمایهگذاری برای آیندهای تابآور
هر استراتژی مستلزم نگاه به آینده و برنامهریزی برای مسیر پیشِرو است. این استراتژی نیز از این قاعده مستثنا نیست. در همین مورد، این راهبرد چند نکته را تصریح میکند: نیاز به سرمایهگذاری، توسعه و ایمنسازی اینترنت، توسعه و حفاظت از مالکیت معنوی در حوزۀ امنیت سایبری، و ارتقای مهارتهای کنشگران [این عرصه].
هدف استراتژیک 4.1 – ایمنسازی پایۀ فنی اینترنت
اگرچه توجه دولت ایالات متحده به زیرساختهای آسیبپذیر مسئلۀ جدیدی نیست، اما بااینحال این امر در هنگام برنامهریزی برای راهبردهای بهرهگیری از تکنولوژی نوآورانه، اغلب نادیده گرفته میشود. هماهنگیِ فعالانۀ دولت ایالات متحده با رهبران صنعت، دانشگاهها و کشورهای متحد، استانداردهای جهانیِ همکاری را تقویت کرده و درنتیجه نرخ بهکارگیری [این استانداردها] را افزایش میدهد و همزمان به پیشبرد استانداردهای جهانی امنیت نیز یاری میرساند.
هدف استراتژیک 4.2 – تقویت تحقیق و توسعۀ فدرال برای امنیت سایبری
بسیاری از نوآوریهای حوزۀ امنیت سایبری توسط جامعۀ سرمایهگذاران و برای حل مشکلات سایبریِ بخصوص رقم خورده است. هدف راهبردی 2/4 آیندهنگر بوده و مقصود آن هدایت سرمایهگذاری در امنیت «تکنولوژیهای کامپیوتری، از جمله میکروالکترونیک، سیستمهای اطلاعات کوانتومی، هوش مصنوعی، بیوتکنولوژی و تولید زیستی، و تکنولوژیهای پاک» است. با توجه به حمایت دولت از فعالان حوزۀ تکنولوژی برای ارتقای امنیت سایبری، انتظار ما این است که این راهبرد مسئلۀ نوآوریهای امنیت سایبری را در مناطقِ راهبردیِ مدنظر، حتی بیش از ایالات متحده پیش ببرد.
هدف استراتژیک 4.3 – مهیاشدن برای آیندهای پساکوانتومی
در ماههای اخیر، دولت ایالات متحده سازمانهای خود را تحت فشار قرار داده است تا برای گذار به رمزنگاری پساکوانتومی برنامهریزی کنند. اکنون، بخش خصوصی را نیز تحت فشار قرار میدهد تا در همین مسیر سرمایهگذاری کند. این امر مستلزم تلاشهای عمده در موارد زیر است: 1) کشف دادهها. 2) کشف رمزگذاری؛ و 3) معماری مجدد حفاظت از داده برای چابکی رمزنگاری. سازمانها باید برای خطرات رمزنگاری سنتی و حرکت به سمت مدلهای پساکوانتومی آماده شوند.
هدف استراتژیک 4.4 – تأمین امنیت منابع آیندۀ انرژی پاک
سال گذشته، دولت بایدن قانون کاهش تورم را با بودجهای 369 میلیارد دلاری تصویب کرد تا برای کاهش انتشار گازهای گلخانهای و مبارزه با تهدیدات اقلیمی ازطریق مشوّقهای مالیاتی، و سرمایهگذاری مستقیم در پروژههای انرژی پاک –ازجمله تولید داخلی تکنولوژی انرژی پاک– تلاش کند. ایجاد زیرساخت ملّی انرژی پاک متکی بر تکنولوژیها و دستگاههای مبتنی بر سرویسهای ابری است که دشمنان سعی در بهرهبرداری از آنها دارند. این بخش خواستار یک رویکرد «امنیت ذاتی[۱۲]» برای تکنولوژیهای انرژی پاک است که در راهبرد ملّی مهندسیِ آگاه به [مسائل] سایبری –متعلق به وزارت انرژی– توضیح داده شده است که به موجب آن کنترلهای امنیت سایبری بهجای اینکه بعد از ساخت [محصول] اضافه شوند، در ابتدای چرخۀ عمر طراحی و توسعۀ سیستمهای مهندسیشده تعبیه میشوند تا به کاهش خطرات و آسیبپذیریهای سایبری کمک کنند.
هدف استراتژیک 4.5 – پشتیبانی از توسعۀ یک اکوسیستم هویت دیجیتال
تأکید بر ایجاد یک اکوسیستم هویت دیجیتال، نوآوری را درمورد راهحلهایی برای احراز هویت مقاوم دربرابر فیشینگ تسریع میکند (همانطور که در اعلامیۀ «2022، M-22-09: حرکت دولت ایالات متحده به سمت اصول امنیت سایبری اعتماد صفر» تأکید شده است). عمیقترین تأثیر این هدف راهبردی بر فعالکردن هویتهای دیجیتال قابلاعتماد خواهد بود. مفهوم هویت دیجیتالی قابلاعتماد تعریف سادهای دارد: درجۀ بالایی از اطمینان نسبت به اینکه یک سازمان، شخص، دستگاه و یا ماشین همان چیزی است که خود ادعا میکند. اگرچه تعریف این مفهوم ساده است، اما ایجاد هویتهای دیجیتال قابلاعتماد و اکوسیستم مطمئن در پیرامون اطراف آنها بههیچوجه کار آسانی نیست.
هدف استراتژیک 4.6 – طراحی راهبردی ملّی برای تقویت نیروی کار سایبری
کشور ما با کمبود شدید و مزمن نیروی انسانی برای امور امنیت سایبری مواجه است. این مسئله خطرِ این را بههمراه دارد که حجم کار افرادی که در نقشهای امنیتی هستند بیش از توان آنها بشود و شرکتها -و سازمانهای دولتی- دربرابر حملات آسیبپذیر شوند. بااینحال، این کمبود عمدتاً بهدلیل شیوههای استخدام سخت و نبود چرخۀ ورود استعدادهای جدید به مسیر مشاغل امنیت سایبری است. راهبرد ملّی جدید امنیت سایبری آمریکا درواقع تقویتکنندۀ همان کاری است که دولت بایدن قبلاً برای تشویق و فعالکردن دورههای کارآموزی امنیت سایبری و سایر برنامههای آموزشی و تربیتی برای افزایش تنوع و رسیدگی به چالشهای منحصربهفرد پیشِروی متولیان زیرساختهای حیاتی و سازمانهای دولتی انجام داده است.
رکن پنجم: ایجاد مشارکتهای بینالمللی برای پیگیری اهداف مشترک
رکن پنجم با تشریح هنجارهای دولت ایالات متحده در عرصۀ بینالملل، بهدنبال تأثیرگذاری بر طرحهای مربوط به حوزۀ امنیت سایبری در سطح جهان است. از منظر ایالات متحدۀ آمریکا جهان باید به سمت درکی منسجمتر از حملات سایبری و مقابله با آنها و وضع مقرراتی برای محدودکردنِ استفاده دولتها از ابزارهای سایبری تهاجمی حرکت کند. هرکدام از اهدافِ راهبردیِ این رکن، بخشی از این دستورکار را پوشش میدهند.
هدف استراتژیک 5.1 – ایجاد ائتلاف برای مقابله با تهدیدات اکوسیستم دیجیتال
دولت امریکا به کمک ائتلافهای موجود در سطح سازمان ملل و نیز ائتلاف امنیتی چهارگانه[۱۳] و سایر طرفها، بهدنبال تدوین مجموعهای از اهداف مشترک برای فضای سایبری است. این اهداف باعث ارتقای همکاری و اطلاعات مشترک راجع به تهدیدها در بین کشورها خواهد شد و شناخت جمعی نسبت به عوامل تهدیدگر را بهبود خواهد بخشید.
هدف استراتژیک 5.2 – تقویت ظرفیت شریک بینالمللی
دولت فدرال و وزارت امور خارجه بهدنبال گسترش توافقات و معاهدات نظامی با سایر کشورهای متحدِ آمریکا در سطح جهان هستند.
هدف استراتژیک 5.3 – گسترش توانایی ایالات متحده برای کمک به متحدان و شرکا
ایالات متحده خسارات حملات سایبریِ اخیر علیه کشورها را جدی گرفته و بهدنبال این است که با همکاری مجموعههایی مانند ناتو، در میان متحدان خود مکانیسمی برای حمایت از سانحهدیدگان طراحی کند.
هدف استراتژیک 5.4 – ایجاد ائتلاف برای تقویت هنجارهای جهانی رفتار دولت مسئولانه
هنجارهای امنیت سایبری هنوز توسط همۀ کشورها بهرسمیت شناخته نشده است. سازمان ملل هنجارهای مشخصی برای زمان صلح دارد، اما بسیاری از کشورها از رعایت آنها سر باز میزنند و هنوز هیچ عواقبی برای اینگونه تخطیها وجود ندارد. این هدف بهدنبال آن است نه تنها این هنجارها را برای کشورهای بیشتری جا بیندازد، بلکه ضمانت اجرای آنها را نیز تأمین کند.
هدف استراتژیک 5.5 – زنجیرههای تأمین جهانی ایمن برای محصولات و خدمات حوزۀ اطلاعات، ارتباطات و تکنولوژیهای عملیاتی
دادههای فورستِر نشان میدهد که ۳۳درصد از حملات سایبری ناشی از یک نقص در زنجیرۀ تأمین یا مشکلی از طرف ثالث بوده است. دولت برای مبارزه با وابستگی ملّی به «شبکۀ رو به رشد تأمینکنندگان خارجی» برای محصولات و خدماتی که «خطر سیستمی برای اکوسیستم دیجیتال ما» ایجاد میکند، رویکردی چندجانبه دارد. این یک راهبرد بلندمدت است، نه یک راهحل کوتاهمدت، و نیازمند همکاری بخش عمومی و خصوصی، بازسازی مجدد تولید اجزا و سیستمهای حیاتی، و اولویتدادن به تابآوری و امنیت زنجیرۀ تأمین است.