Czy centra danych powinny zostać uznane za kluczową infrastrukturę? Kongres i branża debatują nad ochroną

Debata nad ochroną centrów danych w USA

Dynamiczny rozwój centrów danych oraz wzrost liczby ataków na nie skłoniły członków Kongresu do podjęcia dyskusji nad skutecznością obecnych mechanizmów ochrony ze strony rządu federalnego. Podczas wtorkowego przesłuchania przed Podkomisją ds. Cyberbezpieczeństwa i Ochrony Infrastruktury Izby Reprezentantów ds. Bezpieczeństwa Krajowego, eksperci i przedstawiciele branży przedstawili swoje stanowisko.

Propozycja uznania centrów danych za kluczową infrastrukturę

Wielu świadków oraz specjalistów zaproponowało, aby centra danych zostały oficjalnie uznane za odrębną kategorię krytycznej infrastruktury. Takie rozwiązanie miałoby na celu ujednolicenie podejścia do ich ochrony zarówno przed atakami cybernetycznymi, jak i fizycznymi.

Wzrost znaczenia centrów danych w gospodarce amerykańskiej zbiega się z rosnącym zagrożeniem ze strony państw takich jak Iran. Niedawno irańskie drony zaatakowały dwa centra danych należące do Amazona w odpowiedzi na amerykańsko-izraelskie uderzenia na terytorium Iranu. Trzeci obiekt w Bahrajnie również padł ofiarą ataku.

Głosy ekspertów i przedstawicieli branży

Rep. Andy Ogles (R-Tenn.) podkreślił w swoim wystąpieniu, że atak na duże centrum danych może mieć daleko idące konsekwencje wykraczające poza straty dla jednej firmy. „Obecne ramy prawne nie zapewniają jasnego, zintegrowanego podejścia do ochrony centrów danych. Nie określają również, która agencja rządowa jest odpowiedzialna za ocenę ryzyka, współpracę z branżą oraz koordynację działań w przypadku ataku” – stwierdził.

Trzech największych dostawców chmury – Amazon Web Services, Microsoft Azure i Google Cloud Platform – kontroluje łącznie 63% rynku. Ich znaczenie dla gospodarki sprawia, że ochrona tych obiektów staje się priorytetem.

Robert Mayer, wiceprezes ds. cyberbezpieczeństwa i innowacji w organizacji USTelecom, zaproponował utworzenie specjalnego organu koordynacyjnego, który skupiałby się wyłącznie na ochronie centrów danych. „Wymagana jest ścisła współpraca między podmiotami, aby zapewnić odpowiedni poziom bezpieczeństwa” – powiedział.

Mark Montgomery z Foundation for Defense of Democracies zasugerował, aby centra danych i dostawców chmury traktować łącznie ze względu na pokrywające się obszary odpowiedzialności. Podkreślił jednak, że niedawna aktualizacja memorandum bezpieczeństwa narodowego Białego Domu nie uwzględniła chmury obliczeniowej jako krytycznej infrastruktury.

Samuel Visner, przewodniczący Space Information Sharing and Analysis Center, uznał, że centra danych powinny zostać objęte ochroną jako część krytycznej infrastruktury. „Ich rola w gospodarce, wojskowości i innych kluczowych sektorach jest nie do przecenienia. Musimy traktować je jako absolutną konieczność” – stwierdził.

Scott Algeier, dyrektor wykonawczy Information Technology Information Sharing and Analysis Center, przyznał, że jego organizacja utworzyła już specjalną grupę roboczą dla dostawców centrów danych. „Obiekty te są już integralną częścią dyskusji na temat krytycznej infrastruktury” – powiedział.

Porównanie z podejściem brytyjskim

Warto zaznaczyć, że Wielka Brytania już wcześniej uznała centra danych za odrębną kategorię krytycznej infrastruktury. Reps. Vince Fong (R-Calif.) i LaMonica McIver (D-N.J.) podczas przesłuchania zwrócili uwagę na konieczność federalnego wsparcia dla tych obiektów.

Podsumowanie

Debata nad ochroną centrów danych w USA nabiera tempa w obliczu rosnących zagrożeń cybernetycznych i fizycznych. Eksperci są zgodni co do konieczności wprowadzenia klarownych regulacji, które zapewnią odpowiedni poziom bezpieczeństwa dla tej kluczowej infrastruktury. Czy Kongres zdecyduje się na uznanie centrów danych za odrębną kategorię krytycznej infrastruktury? Czas pokaże.