Ticaret Bakanlığı, bulut şirketlerinin müşterilerinin kimliklerini doğrulamalarını ve faaliyetleri hakkında rapor vermelerini gerektiren önerisiyle yasal bir engele takılabilir. Bilgisayar korsanlarının bulut hizmetlerini kötüye kullanmasını engelleme çabasının bir parçası olan bekleyen kural, endüstri tarafından iddia edilen aşırılık nedeniyle eleştirilere maruz kaldı. Büyük bir teknoloji ticaret grubu, Ticaret Bakanlığı’nı “önerilen düzenlemelerinin Kongre tarafından verilen kural koyma yetkisini aşma riski taşıdığı” konusunda uyardı. (Ticaret Bakanlığı yorum yapmayı reddetti.)
Davalar, Federal Ticaret Komisyonu, Federal İletişim Komisyonu ve mali düzenleyicilerin veri ihlali raporlama gereklilikleri de dahil olmak üzere, politika yapıcıların siber güvenliği düşünmeye başlamasından çok önce yazılmış yasalara dayanan diğer düzenlemeleri de hedef alabilir.
“Ajansların en çok gergin olacağı zorlukların çoğu [are] Siber avukat, “Ya 20 yıldır bir şeyi yorumluyorlar ya da 30 yıl öncesinin bir şeyini yeni yorumladılar” diyor.
Beyaz Saray zaten büyük bir aksilikle karşı karşıya kaldı. Geçtiğimiz Ekim ayında Çevre Koruma Ajansı, endüstri grupları ve Cumhuriyetçi liderliğindeki eyaletlerin mahkemede itiraz ettiği su sistemleri için siber gerekliliklerini geri çekti. Muhalifler, EPA’nın eyaletlerin su tesisi denetimlerine siber güvenlik eklemelerini gerektiren 1974 tarihli bir yasayı yorumlama yetkisini aştığını söyledi; bu, daha önce üst düzey bir Beyaz Saray siber yetkilisinin “yaratıcı bir yaklaşım” olarak övdüğü bir stratejiydi.
Tüm Gözler Kongre’de
Hükümetin siber düzenleme çabalarının yargısal bir çıkmaza sürüklenmesi muhtemel.
Federal yargıçlar aynı düzenlemeler hakkında farklı sonuçlara varabilir ve çok farklı geçmişlere sahip bölgesel devre mahkemelerine itirazlar düzenleyebilir. Siber Güvenlik Politikası ve Hukuku Merkezi’nden Geiger, “Yargı kendi başına bir monolit değildir” diyor. Ayrıca, kurumlar siber düzenlemelerin karmaşıklıklarını çözümlemekte zorluk çekebilecek yargıçlardan çok daha iyi son teknoloji sorunlarını anlıyor.
Uzmanlara göre bu soruna tek bir gerçek çözüm var: Kongre, kurumların siber iyileştirmeleri zorunlu kılmasını istiyorsa, onlara bunu yapma yetkisi veren yeni yasalar çıkarmak zorunda.
Geiger, “Toplumun güvendiği kritik hizmetlerin korunmasını sağlamak için kararlı bir şekilde hareket etme konusunda Kongre’nin artık daha fazla sorumluluğu var” diyor.
George Mason Üniversitesi Ulusal Güvenlik Enstitüsü’nün yönetici direktörü ve Yüksek Mahkeme Yargıcı Neil Gorsuch’un eski katibi Jamil Jaffer, netliğin anahtar olacağını söylüyor. “Kongre ne kadar spesifik olursa, bir mahkemenin bunu bir kurumun gördüğü şekilde görmesinin o kadar olası olduğunu düşünüyorum.”
Kongre, özellikle yeni düzenleyici yetkiler içeren önemli yasaları nadiren geçirir, ancak siber güvenlik her zaman bir istisna olmuştur.
“Kongre çok, çok yavaş hareket ediyor, ancak tamamen pasif değil [on] Lilley, “bu cephede” diyor. “Düzenleyiciler ilerleyemezlerse, belirli sektörlerde anlamlı siber mevzuatlar görmeniz mümkün.”
Önemli sorulardan biri, Cumhuriyetçiler Kasım ayındaki seçimlerde hükümetin birleşik kontrolünü ele geçirirse bu ilerlemenin devam edip etmeyeceğidir. Lilley iyimserdir ve GOP platformunun yüksek standartlara sahip kritik altyapıyı güvence altına alma çağrısına “ulusal bir öncelik” olarak işaret eder.
Lilley, “Bu noktada her iki tarafta da, özellikle bazı sektörlerde bir miktar piyasa başarısızlığı yaşandığı ve hükümetin bir miktar harekete geçmesinin uygun olacağı yönünde bir his var” diyor.
Ocak ayında Kongre Binası’nın kim tarafından kontrol edileceğinden bağımsız olarak, Yüksek Mahkeme yasa koyuculara bilgisayar korsanlarına karşı mücadelede büyük bir sorumluluk yükledi.
Geiger, “Kolay olmayacak,” diyor, “ama Kongre’nin harekete geçme zamanı geldi.”