ผลพวงของเหตุการณ์ 9/11 คณะกรรมาธิการอิสระ 9/11 พบว่าหน่วยงานของรัฐบาลกลางไม่ได้แบ่งปันข้อมูลภัยคุกคามที่อาจเกิดขึ้นอย่างเพียงพอ ซึ่งอาจอนุญาตให้หน่วยงานบังคับใช้กฎหมายหยุดการโจมตีได้ คณะกรรมาธิการแนะนำให้ยกเครื่องหน่วยข่าวกรองและหน่วยงานบังคับใช้กฎหมายครั้งใหญ่เพื่อแก้ไขจุดอ่อนนี้ รวมถึงนโยบายเกี่ยวกับการแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์
คำสั่งฝ่ายบริหารว่าด้วยการปรับปรุงความปลอดภัยทางไซเบอร์
ของประเทศซึ่งออกเมื่อวันที่ 12 พฤษภาคม ขยายสภาพแวดล้อมการแบ่งปันข้อมูลให้รวมถึงผู้รับเหมาของรัฐบาล ในการนำส่วนที่ 2 ไปใช้และขจัดอุปสรรคในการแบ่งปันข้อมูล EO กำหนดให้มีการเปลี่ยนแปลงระเบียบการได้มาซึ่งรัฐบาลกลางและส่วนเสริมระเบียบการได้มาซึ่งการป้องกันของรัฐบาลกลาง เพื่อให้ผู้รับจ้างสามารถรายงานภัยคุกคามทางไซเบอร์และเหตุการณ์ต่อหน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน เอฟบีไอ และองค์ประกอบอื่น ๆ ของ ชุมชนข่าวกรอง
“เป็นเพราะแนวภัยคุกคามได้ทวีความรุนแรงขึ้น” คาเรน อีแวนส์ อดีตผู้ดูแลระบบของรัฐบาลอิเล็กทรอนิกส์และไอทีที่สำนักงานการจัดการและงบประมาณระหว่างรัฐบาลจอร์จ ดับเบิลยู บุชกล่าว “และความปลอดภัย [ของเรา] … สร้างขึ้นบนรุ่นเก่า”
Michael Daniel อดีตผู้ช่วยพิเศษของประธานาธิบดีและผู้ประสานงานด้านความปลอดภัยในโลกไซเบอร์ ปัจจุบันเป็นประธานและซีอีโอของ Cyber Threat Alliance กล่าวว่าหน่วยงานส่วนใหญ่ไม่ควรรับผิดชอบต่อความปลอดภัยทางไซเบอร์ของตนเอง ดังนั้นจึงเหมาะสมที่จะรวมผู้รับเหมาที่เหมาะสมที่สุดในการให้บริการนั้น
“หากคุณย้อนเวลากลับไปในยุค 90 และ Clinger-Cohen
ทุกหน่วยงานมีหน้าที่รับผิดชอบต่อความปลอดภัยทางไซเบอร์ของตนเอง เพราะเราปฏิบัติต่อความปลอดภัยทางไซเบอร์ในฐานะส่วนเสริมของไอที” Daniel กล่าว “เราอยู่บนเส้นทางในช่วง 25 ปีที่ผ่านมาของการรวมศูนย์บางส่วนของ IT [และ] บางส่วนของความปลอดภัยทางไซเบอร์เข้าด้วยกันอย่างช้าๆ แต่มั่นคง คำสั่งฝ่ายบริหารนี้ผลักดันรัฐบาลให้ก้าวไปสู่เส้นทางนี้ ความจริงก็คือสำหรับหน่วยงานส่วนใหญ่ความปลอดภัยทางไซเบอร์ไม่ใช่ความสามารถหลักของพวกเขา”
EO กำหนดว่าการเปลี่ยนแปลง FAR และ DFARS กำหนดให้ผู้ให้บริการเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) รวบรวม เก็บรักษา และแบ่งปันข้อมูลที่เกี่ยวข้องกับ “การป้องกันเหตุการณ์ความปลอดภัยทางไซเบอร์ การตรวจจับ การตอบสนอง และการสอบสวนในระบบข้อมูลทั้งหมดที่พวกเขามีการควบคุม ” ทั้งกับหน่วยงานลูกค้าและหน่วยงานสืบสวนความปลอดภัยทางไซเบอร์ของรัฐบาลกลางที่กำหนดโดยผู้อำนวยการสำนักบริหารและงบประมาณ ซึ่งรวมถึงการทำงานร่วมกันในการสืบสวนและตอบสนองต่อเหตุการณ์ทางไซเบอร์หรือเหตุการณ์ที่อาจเกิดขึ้นกับระบบ IT และ OT ของรัฐบาล
สิ่งที่สำคัญไม่แพ้กัน ผู้ให้บริการ ICT “ต้องรายงานทันที” ไปยังหน่วยงานเหล่านี้ทั้งหมด เมื่อพบเหตุการณ์ทางไซเบอร์ ทั้งที่เกี่ยวข้องกับซอฟต์แวร์หรือบริการของตนเอง หรือระบบสนับสนุนสำหรับซอฟต์แวร์หรือบริการที่จัดหาให้แก่หน่วยงานที่เป็นลูกค้า หน่วยงานบังคับใช้กฎหมายของรัฐบาลกลางและหน่วยข่าวกรองต้องพัฒนา “ระดับความรุนแรงขั้นสุดท้าย” สำหรับเหตุการณ์ทางไซเบอร์ การรายงานเหตุการณ์ระดับสูงสุดต้องทำภายในสามวันหลังจากตรวจพบครั้งแรก
