W połowie lat dziewięćdziesiątych administracja Clintona podjęła inicjatywę oceny wpływu Internetu na gospodarkę kraju i jego infrastrukturę. W ramach tych wysiłków przewodnicząca Komisja ds. Ochrony Infrastruktury Krytycznej zbadała infrastruktury krytyczne i znalazła wiele istotnych luk w zabezpieczeniach. Jesienią 1997 r. Komisja zaproponowała strategię ochrony narodu. Jej raport „Critical Foundations: Protecting America’s Infrastructures” wezwał do opracowania krajowego planu zapewniającego bezpieczeństwo coraz bardziej podatnej na zagrożenia i wzajemnie połączonej infrastruktury krytycznej w Stanach Zjednoczonych. W raporcie zauważono, że ochrona infrastruktury krytycznej to „odpowiedzialność wspólna zarówno dla sektora publicznego, jak i prywatnego”.
W kolejnej białej księdze, którą Biały Dom opublikowała wiosną 1998 r., Towarzysząc Prezydenckiej dyrektywie nr 63 (PDD 63), wyjaśniono, że armia i gospodarka kraju są w coraz większym stopniu zależne od niektórych infrastruktur krytycznych i systemów informacyjnych opartych na cyberprzestrzeni:
W przeszłości wiele krytycznych infrastruktur narodu było fizycznie i logicznie oddzielnymi systemami, które miały niewielką współzależność. Jednak w wyniku postępu technologii informacyjnej i konieczności poprawy wydajności infrastruktury te stają się coraz bardziej zautomatyzowane i wzajemnie powiązane. Te same postępy stworzyły nowe podatności na awarie sprzętu, błędy ludzkie, pogodę i inne przyczyny naturalne oraz ataki fizyczne i cyberataki. Konieczne będzie wyeliminowanie tych luk w zabezpieczeniach wymagają elastycznego, ewolucyjnego podejścia, które obejmuje zarówno sektor publiczny, jak i prywatny oraz chroni zarówno bezpieczeństwo wewnętrzne, jak i międzynarodowe. Ze względu na naszą siłę militarną przyszli wrogowie, czy to narody, grupy czy jednostki, mogą chcieć wyrządzić nam krzywdę w nietradycyjny sposób, w tym ataki w Stanach Zjednoczonych. Nasza gospodarka jest w coraz większym stopniu zależna od współzależnych i wspieranych cyberprzestrzeni infrastruktury, a nietradycyjne ataki na naszą infrastrukturę i systemy informatyczne mogą być w stanie znacząco zaszkodzić zarówno naszej sile militarnej, jak i naszej gospodarce.
Polityka administracji Clintona dotycząca infrastruktury krytycznej
Ochrona: Decyzja Prezydenta, Dyrektywa 63, 22 maja 1998
W PDD 63 uznano, że Stany Zjednoczone muszą opracować środki ochrony infrastruktury krytycznej kraju przed celowymi działaniami, które znacznie zmniejszyłyby jego możliwości. Niektóre z zidentyfikowanych pozycji obejmowały:
* Zdolność rządu federalnego do wykonywania podstawowych misji w zakresie bezpieczeństwa narodowego oraz do zapewnienia zdrowia i bezpieczeństwa ogółu społeczeństwa * Zdolność władz stanowych i lokalnych do utrzymania porządku i świadczenia minimalnych podstawowych usług publicznych
* Rola sektora prywatnego w zapewnianiu prawidłowego funkcjonowania gospodarki i świadczeniu podstawowych usług telekomunikacyjnych, energetycznych, finansowych i transportowych
W PDD 63 uznano również, że „wszelkie zakłócenia lub manipulacje tymi krytycznymi funkcjami muszą być krótkie, rzadkie, możliwe do opanowania, odizolowane geograficznie i minimalnie szkodliwe dla dobra Stanów Zjednoczonych”. W dyrektywie administracyjnej zaproponowano utworzenie pięciu nowych zasobów:
* Krajowy koordynator, którego zakres obejmował nie tylko ochronę infrastruktury krytycznej, ale także ochronę przed zagranicznym terroryzmem i zagrożeniami masowego rażenia w kraju.
* Narodowe Centrum Ochrony Infrastruktury (NIPC) w FBI utworzone w celu połączenia przedstawicieli FBI, DOD, USSS, energetyki, transportu, społeczności wywiadowczej i sektora prywatnego w bezprecedensową próbę wymiany informacji między agencjami we współpracy z sektorem prywatnym Zadaniem NIPC było zapewnienie głównych środków ułatwiających i koordynujących reakcję rządu federalnego na incydent, łagodzenie ataków, badanie zagrożeń i monitorowanie wysiłków na rzecz odbudowy.
* Centra wymiany informacji i analiz (ISAC) były zachęcane do tworzenia przez sektor prywatny we współpracy z rządem federalnym i wzorowane na centrach kontroli i zapobiegania chorobom.
* Krajowa Rada ds. Zapewnienia Infrastruktury miała zostać utworzona z liderów sektora prywatnego oraz urzędników stanowych i lokalnych, aby zapewnić wytyczne dotyczące formułowania polityki w planie krajowym.
* Biuro Zapewnienia Infrastruktury Krytycznej miało wspierać współpracę koordynatora krajowego z agencjami rządowymi i sektorem prywatnym przy opracowywaniu planu krajowego, a także pomagać w koordynowaniu krajowego programu edukacyjnego i uświadamiającego, a także spraw legislacyjnych i publicznych.
Z proponowanych zdolności wszystkie oprócz NIAC zostały wdrożone do końca dekady. Wszystkie te funkcje ostatecznie stały się częścią Departamentu Bezpieczeństwa Wewnętrznego USA w 2003 r. W trakcie tego procesu głównym zidentyfikowanym ryzykiem był atak na sieci cybernetyczne, wspólny wątek łączący wszystkie krytyczne infrastruktury. Zwrócono również uwagę, że niezawodne działanie sieci elektrycznej i systemu elektroenergetycznego ma fundamentalne znaczenie dla funkcjonowania infrastruktury krytycznej. Jednak internet jest dostępny na całym świecie, co czyni go prawdopodobną drogą dla przeciwnika, który chce zakłócić lub zdegradować te systemy. Publikacja PDD 63 wiosną 1998 r. Była punktem zwrotnym w zrozumieniu uzależnienia narodu w Internecie. Położył podwaliny pod organizacje, które ostatecznie zostały włączone do Departamentu Bezpieczeństwa Wewnętrznego. Przewidziano również, że organizacje terrorystyczne mogą pewnego dnia zaatakować krytyczne infrastruktury USA, myśląc wówczas, że przyszły atak na Stany Zjednoczone będzie odbywał się bitami i bajtami, a nie samolotami wlatującymi do budynków.