Chevron: суд с рыбаками ослабил киберзащиту США

Администрация Джо Байдена, стремясь защитить жизненно важную инфраструктуру США от хакеров, столкнулась с серьёзным препятствием после решения Верховного суда США, которое может помешать планам по усилению кибербезопасности. О решении суда сообщает издание Wired.

Стратегия администрации Байдена основывалась на использовании существующих законов и на их гибкой интерпретации для включения аспектов кибербезопасности. Ожидалось, что суды будут учитывать мнение агентств на основании доктрины Chevron . Однако в июне Верховный суд, рассматривая дело Loper Bright Enterprises vs. Raimondo, отменил доктрину Chevron. Теперь суды должны самостоятельно интерпретировать законы, не придавая значительного веса мнению агентств.

Такое решение может подорвать планы множества агентств, требующих улучшения кибербезопасности для критически важной инфраструктуры, включая больницы, водоснабжение и электростанции. Например, действующие правила, направленные на защиту облачных платформ, безопасность трубопроводов и аэропортов, а также на улучшение отчетности о крупных киберинцидентах, могут быть оспорены корпоративным сектором.

Одним из самых значимых и уязвимых регулирований Байдена является требование, чтобы организации критической инфраструктуры сообщали о кибератаках в течение 72 часов, а о выплатах выкупа — в течение 24 часов. Однако бизнес-сообщество раскритиковало предложенное правило за его чрезмерную строгость. Критика была сосредоточена на определениях «охваченного субъекта», «охваченного инцидента» и перечня информации, подлежащей отчетности, которые, по мнению компаний, были сформулированы шире, чем предполагалось законом.

Верховный суд может стать ареной для множества исков, оспаривающих такие правила. Комитет Сената по внутренней безопасности заявил, что предложенное правило слишком широкое и нуждается в дополнительной ясности. Федеральные агентства, такие как Администрация транспортной безопасности (TSA) и Министерство здравоохранения и социальных служб (HHS), также могут столкнуться с исками из-за своих требований.

Агентства теперь должны пересмотреть свои стратегии в свете новых судебных решений. Представитель CISA сообщил, что ведомство все еще оценивает решение суда и его потенциальное влияние на регуляторные действия. Однако эксперты предсказывают, что изменения будут умеренными, так как агентства постараются минимизировать свои реакции в рамках правового совета. Специалисты сходятся во мнении, что для решения проблемы требуется активное вмешательство Конгресса. Если Конгресс хочет, чтобы агентства могли требовать улучшений в кибербезопасности, необходимо принятие новых законов, предоставляющих соответствующие полномочия.

Дело Loper Bright Enterprises vs. Raimondo возникло, когда рыболовные компании оспорили правило Национальной службы морского рыболовства (NMFS), обязывающее их оплачивать услуги наблюдателей на борту, утверждая, что это не предусмотрено законом Magnuson-Stevens Act. В ходе разбирательств дело поставило под сомнение принцип Chevron, поэтому Верховный суд отменил Chevron, постановив, что определение неоднозначности законов должно быть прерогативой судов, а не агентств.

Запрет Chevron рассматривается как шаг по ограничению власти федеральных агентств над решениями судов. Инцидент был охарактеризован как «потрясение для правовой системы» с серьезными последствиями для регуляторной практики и баланса власти между ветвями власти​.