يقدم التعهد أمثلة على كيفية تحقيق الشركات للأهداف، على الرغم من أنه يشير إلى أن الشركات “تتمتع بسلطة تقديرية لتحديد أفضل السبل” للقيام بذلك. تؤكد الوثيقة أيضًا على أهمية إظهار الشركات علنًا “تقدمًا قابلاً للقياس” في تحقيق أهدافها، فضلاً عن توثيق تقنياتها “حتى يتمكن الآخرون من التعلم”.
وقد طورت CISA التعهد بالتشاور مع شركات التكنولوجيا، سعيًا لفهم ما هو ممكن بالنسبة لهم مع تحقيق أهداف الوكالة أيضًا، وفقًا لجولدستين. وهذا يعني التأكد من أن الالتزامات كانت ممكنة للشركات من جميع الأحجام، وليس فقط عمالقة وادي السيليكون.
حاولت الوكالة في الأصل استخدام تعاونيتها المشتركة للدفاع السيبراني لحث الشركات على التوقيع على التعهد، وفقًا لمسؤول صناعة التكنولوجيا، لكن ذلك أدى إلى نتائج عكسية عندما شككت الشركات في استخدام مجموعة تعاون تشغيلية للدفاع السيبراني من أجل “مسألة سياسية وقانونية”، حسبما ذكرت الصناعة. يقول المسؤول.
يقول المسؤول: “أعربت الصناعة عن إحباطها بشأن محاولة استخدام JCDC للحصول على تعهدات”، وتراجعت CISA بحكمة عن هذا الجهد.
ثم أجرت CISA مناقشات مع الشركات من خلال مجلس تنسيق قطاع تكنولوجيا المعلومات وقامت بتعديل التعهد بناءً على تعليقاتهم. في الأصل، كان التعهد يحتوي على أكثر من سبعة أهداف، وأرادت CISA من الموقعين الالتزام بـ “مقاييس ثابتة” لإظهار التقدم، وفقًا لمسؤول الصناعة. في النهاية، يقول هذا الشخص، أزالت CISA العديد من الأهداف و”وسعت اللغة” فيما يتعلق بقياس التقدم.
يقول جون ميلر، نائب الرئيس الأول للسياسات والثقة والبيانات والتكنولوجيا في مجلس ابتكار تكنولوجيا المعلومات، وهو مجموعة تجارية صناعية كبرى، إن التغيير كان ذكيًا، لأن مقاييس التقدم الملموسة – مثل عدد المستخدمين الذين يستخدمون المصادقة متعددة العوامل – يمكن أن “يساء فهمها بسهولة”.
ويقول غولدستين إن عدد الموقعين على التعهدات “يتجاوز توقعاتي بشأن المكان الذي سنكون فيه” في هذه المرحلة. يقول مسؤول الصناعة إنهم ليسوا على علم بأي شركة رفضت بشكل قاطع التوقيع على التعهد، ويرجع ذلك جزئيًا إلى رغبة البائعين في “الحفاظ على خيار التوقيع مفتوحًا” بعد حدث إطلاق CISA في RSA. “الجميع في وضع الانتظار والترقب”.
المسؤولية القانونية هي مصدر قلق كبير للشركات الموقعة المحتملة. يقول ميلر: “إذا انتهى الأمر، حتماً، إلى وقوع نوع من الحوادث الأمنية، فإن أي شيء قالته الشركة (أ) علناً يمكن استخدامه في الدعاوى القضائية”.
ومع ذلك، يتوقع ميلر أن بعض الشركات العالمية التي تواجه متطلبات أمنية أوروبية جديدة صارمة سوف توقع على تعهد الولايات المتحدة “بالحصول على هذا الائتمان” مقابل شيء يتعين عليها القيام به بالفعل.
تعد حملة Secure by Design الخاصة بـ CISA محور خطة إدارة بايدن الطموحة لتحويل عبء الأمن السيبراني من المستخدمين إلى البائعين، وهو موضوع أساسي لاستراتيجية الأمن السيبراني الوطنية للإدارة. يأتي الضغط من أجل المسؤولية السيبرانية للشركات بعد سنوات من الهجمات التخريبية على سلسلة التوريد على صانعي البرمجيات المهمين مثل Microsoft، وSolarWinds، وKaseya، وChange Healthcare، بالإضافة إلى قائمة متزايدة من نقاط الضعف البرمجية المنتشرة على نطاق واسع والتي عززت هجمات برامج الفدية على المدارس والمستشفيات والمؤسسات. الخدمات الأساسية الأخرى. ويقول مسؤولو البيت الأبيض إن نمط الانتهاكات المكلفة والتي يمكن الوقاية منها في كثير من الأحيان يظهر الحاجة إلى زيادة مساءلة الشركات.