أعلنت إدارة بايدن هاريس اليوم عن استراتيجية وطنية شاملة جديدة للأمن السيبراني تسعى ، من بين أمور أخرى ، إلى تحديد مسؤولية ذات مغزى عن منتجات وخدمات البرمجيات وتضع الحد الأدنى من متطلبات الأمن السيبراني الإلزامي في قطاع البنية التحتية الحيوية.
عند تنفيذها بالكامل ، ستعزز الاستراتيجية أيضًا قدرة كيانات القطاعين الفيدرالي والخاص على تعطيل وتفكيك عمليات الجهات الفاعلة في التهديد ، وستطلب من جميع الكيانات التي تتعامل مع البيانات الخاصة بالأفراد إيلاء اهتمام أكبر لكيفية حماية تلك البيانات.
يتمثل أحد الأهداف الرئيسية للاستراتيجية في أن يبحث المنظمون الفيدراليون عن فرص لتحفيز جميع أصحاب المصلحة على تبني ممارسات أمنية أفضل عبر الهياكل الضريبية والآليات الأخرى.
إعادة التوازن بين المسؤولية عن الأمن السيبراني
كتب الرئيس بايدن في كتابه "[الاستراتيجية] تواجه التحدي النظامي المتمثل في أن قدرًا كبيرًا من المسؤولية عن الأمن السيبراني يقع على عاتق المستخدمين الفرديين وصغار المستخدمين" مقدمة لخطته الجديدة. "من خلال العمل بالشراكة مع الصناعة والمجتمع المدني وحكومات الولايات والحكومات المحلية والقبلية والإقليمية ، سنعيد التوازن بين مسؤولية الأمن السيبراني ليكون أكثر فعالية وإنصافًا."
تسعى استراتيجية بايدن إلى بناء التعاون والزخم حول خمسة مجالات محددة: حماية البنية التحتية الحيوية ، وتعطيل عمليات وبنية تحتية للمخاطر ، وتعزيز أمان أفضل بين بائعي البرامج والمنظمات التي تتعامل مع البيانات الفردية ، والاستثمارات في تقنيات أكثر مرونة ، والتعاون الدولي في مجال الأمن السيبراني.
من بين هذه المبادرات المقترحة حول أمن البنية التحتية الحيوية وتحويل المسؤولية إلى بائعي البرمجيات ومعالجي البيانات يمكن أن يكون لها الأثر الأكثر أهمية.
يتضمن مكون البنية التحتية الحيوية في إستراتيجية بايدن اقتراحًا لتوسيع الحد الأدنى من متطلبات الأمن السيبراني لجميع مشغلي البنية التحتية الحيوية. ستستند اللوائح إلى معايير وإرشادات الأمن السيبراني الحالية مثل إطار عمل المعهد الوطني للمعايير والتكنولوجيا (NIST) لتحسين الأمن السيبراني للبنية التحتية الحرجة والأمن السيبراني وأمن البنية التحتية (CISA) أهداف أداء الأمن السيبراني.
التركيز على الأمان عن طريق التصميم
ستكون المتطلبات قائمة على الأداء ، وقابلة للتكيف مع المتطلبات المتغيرة ، وتركز على دفع تبني مبادئ الأمان حسب التصميم.
وقالت وثيقة الإستراتيجية: "في حين أن الأساليب الطوعية لأمن البنية التحتية الحيوية قد أسفرت عن تحسينات ذات مغزى ، فإن الافتقار إلى المتطلبات الإلزامية أدى إلى نتائج غير كافية وغير متسقة". يمكن للتنظيم أيضًا أن يوازن ساحة اللعب في القطاعات التي يتنافس فيها المشغلون مع الآخرين لتقليل الإنفاق على الأمن لأنه لا يوجد حافز فعليًا لتنفيذ أمان أفضل. توفر الاستراتيجية لمشغلي البنية التحتية المهمين الذين قد لا يمتلكون الموارد المالية والتقنية لتلبية المتطلبات الجديدة ، مع سبل جديدة محتملة لتأمين تلك الموارد.
يقول جوشوا كورمان ، كبير استراتيجيي CISA السابق ونائب الرئيس الحالي للسلامة الإلكترونية في Claroty ، إن اختيار إدارة بايدن لجعل أمن البنية التحتية الحيوية أولوية مهمة.
يقول كورمان: "لقد شهدت الأمة اضطرابات إلكترونية ناجحة في البنية التحتية الحيوية والتي أثرت بشكل كبير على العديد من وظائف شريان الحياة ، بما في ذلك الوصول إلى المياه والغذاء والوقود ورعاية المرضى ، على سبيل المثال لا الحصر". "هذه أنظمة حيوية تعاني بشكل متزايد من الاضطرابات ، والعديد من مالكي ومشغلي هذه البنية التحتية الحيوية هم ما أسميه 'استهداف الأغنياء والفقراء الإلكترونيين.' '
ويشير إلى أن هذه غالبًا ما تكون من بين الأهداف الأكثر جاذبية للجهات الفاعلة في مجال التهديد ، ولكنها تمتلك أقل عدد من الموارد لحماية نفسها.
يرى روبرت دوبري ، مدير الشؤون الحكومية في Telos ، أن دعم الكونجرس هو مفتاح خطط بايدن لتعزيز الأمن السيبراني للبنية التحتية الحيوية.
وقال في بيان: "إن الدفع لفرض متطلبات الأمن السيبراني الإلزامية على قطاعات البنية التحتية الحيوية الإضافية سيحتاج إلى إذن من الكونجرس في بعض الحالات ، وهو الأمر في البيئة السياسية الحالية بعيد المدى في أحسن الأحوال". "الأغلبية في مجلس النواب الجمهوري تعارض فلسفيًا التفويضات الحكومية الجديدة وليس من المرجح أن تمنح إدارة بايدن هذه السلطة".
محاسبة البائعين على أمن البرمجيات
في خطوة من المرجح أن تكون مثيرة للجدل ، تركز استراتيجية الأمن السيبراني الوطنية الجديدة لبايدن أيضًا على تحميل بائعي البرامج مسؤولية مباشرة أكبر عن أمن تقنياتهم. تنقل الخطة على وجه التحديد المسؤولية عن البرامج والخدمات غير الآمنة إلى البائعين وبعيدًا عن المستخدمين النهائيين الذين يتحملون عواقب البرامج غير الآمنة.
كجزء من هذا الجهد ، ستعمل إدارة بايدن مع الكونجرس لمحاولة تمرير تشريع من شأنه أن يمنع مصنعي البرمجيات والناشرين الذين يتمتعون بقوة السوق من التخلي عن المسؤولية ببساطة عن طريق العقد. توفر الإستراتيجية ملاذًا آمنًا للمؤسسات التي لديها ممارسات آمنة بشكل واضح لتطوير البرمجيات وصيانتها.
قالت وثيقة الإستراتيجية: "يتجاهل عدد كبير جدًا من البائعين أفضل الممارسات للتطوير الآمن ، أو يشحن المنتجات ذات التكوينات الافتراضية غير الآمنة ، أو الثغرات المعروفة" ، ومع مكونات الطرف الثالث غير الآمنة.
بالإضافة إلى تحويل المسؤولية إلى بائعي البرامج ، فإن الإستراتيجية الجديدة تدعو أيضًا إلى الحد الأدنى من متطلبات الأمان لجميع المؤسسات التي تتعامل مع البيانات الفردية وخاصة تحديد الموقع الجغرافي والبيانات الصحية.
لقد تجلى الدعم في الكونجرس لجهود تحويل المسؤولية إلى بائعي البرمجيات في شكل نوبات وبدأ منذ أكثر من عقد ، كما يقول برايان فوكس ، كبير مسؤولي التكنولوجيا والمؤسس المشارك لشركة Sonatype. "في سنة 2013، HR5793 - قانون الشفافية وإدارة سلسلة التوريد السيبراني المعروف باسم Royce Bill بدأ المحادثة حول تقديم فواتير مواد البرمجيات (SBOM) ، "كما يقول.
في نهاية المطاف ، لم يتحرك هذا الاقتراح للأمام ، ولكن مطلب جميع موردي البرمجيات للحكومة الفيدرالية بإنتاج SBOMs عند الطلب انتهى به الأمر إلى أن يتم دمجها في مايو 2021 الأمر التنفيذي من الرئيس بايدن ، كما يقول. "في الآونة الأخيرة ، رأينا قانون تأمين البرمجيات مفتوحة المصدر لعام 2022 يشق طريقه من خلال اللجان. يبدو من الواضح أن الكونجرس يبحث عن طريقة لدفع الصناعة إلى الأمام ، وتضع الإستراتيجية عناصر جديدة محددة يجب أخذها في الاعتبار ".
العصا و الجزرة
كجزء من الجهود المبذولة لتوجيه سلوك أمني أفضل ، ستستخدم الحكومة الفيدرالية نفوذها الشرائي الهائل لجعل موردي البرامج والخدمات يلتزمون تعاقديًا بالحد الأدنى من متطلبات الأمان. سيستخدم المنح والآليات الأخرى - مثل عمليات تحديد الأسعار والهياكل الضريبية - لحمل المنظمات على الاستثمار بشكل أكبر في الأمن السيبراني.
تقول كارين والش ، خبيرة الامتثال للأمن السيبراني في Allegro Solutions ، إذا نجحت الخطة على النحو المنشود ، فيمكنها تحويل عقليات الشركة من عقلية "الأمان يعني العقوبات" إلى عقلية "الأمان يعني الحصول على المكافآت".
يقول والش: "من نواحٍ عديدة ، هذا مشابه للطريقة التي تقدم بها الحكومة بالفعل حوافز لمبادرات الطاقة النظيفة".
القتال مرة أخرى
ينصب أحد مجالات التركيز الرئيسية للاستراتيجية الجديدة على تعزيز قدرات القطاعين الاتحادي والخاص لتعطيل عمليات الفاعل المهدد والبنية التحتية. تتضمن الخطط تطوير قدرة تعطل الحكومة بأكملها ، وعمليات إزالة أكثر تنسيقًا للبنية التحتية والموارد الإجرامية ، وتجعل من الصعب على الجهات الفاعلة في التهديد استخدام البنية التحتية الأمريكية لعمليات التهديد الإلكتروني.
يقول ألي ميلين ، كبير المحللين في شركة Forrester: "من غير المرجح أن يتم تفكيك الجهات الفاعلة في التهديد على نطاق واسع". "إنها مشابهة لفكرة" الاختراق "- رائعة افتراضيًا ، ولكن من الصعب تنفيذها."
يعتبر ميلين أن التوسيع المقترح للأنظمة المتعلقة بمقدمي خدمات البنية التحتية الحيوية هو أهم عنصر في الاستراتيجية الجديدة.
وتقول: "إنها لا تتطلع فقط إلى إنشاء مجموعة من الحد الأدنى من متطلبات الأمن السيبراني ، ولكنها تبدأ أيضًا في ربط مزودي التكنولوجيا مثل شركات البنية التحتية كخدمة (IaaS) بهذه المتطلبات ، وتوسيع نطاق وصولها".
يقول كلاروتي كورمان إن بعض المقترحات في الإستراتيجية الجديدة ستثير على الأرجح بعض المحادثات الصعبة. لكنه يشير إلى أن الوقت قد حان للحصول عليها.
يلاحظ كورمان أن "الموضوعات الأكثر إثارة للجدل ، مثل مسؤولية البرامج ، سيكون من المسلم به أن تحقيقها سيكون أصعب". لكنه يقول إن الجهد حاسم.
"هناك فجوة كبيرة بين الوضع الحالي والحالة المرغوبة من أجل المرونة الإلكترونية للبنية التحتية الحيوية - نحن بحاجة إلى تفكير جريء وإجراءات جريئة من أجل تضييق هذه الفجوة."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- القدرة
- الوصول
- التأهيل
- عمل
- اكشن
- الجهات الفاعلة
- إضافة
- إضافي
- انضمت
- إدارة
- تبنى
- تبني
- وكالة
- الكل
- سابقا
- من بين
- المحلل
- و
- والبنية التحتية
- أعلن
- اقتراب
- المناطق
- حول
- اهتمام
- جذاب
- السلطة
- ترخيص
- الى الخلف
- على أساس
- دب
- لان
- يجري
- أفضل
- أفضل الممارسات
- أفضل
- ما بين
- بايدن
- إدارة بايدن
- مشروع قانون
- فواتير
- الخطّ الغامق
- دعم
- بريان
- واسع
- نساعدك في بناء
- دعوة
- دعوات
- قدرات
- يهمني
- الحالات
- سلسلة
- تحدى
- متغير
- رئيس
- خيار
- الطاقة النظيفة
- واضح
- أقرب
- المؤسس المشارك
- للاتعاون
- الشركات
- منافسة
- الالتزام
- عنصر
- مكونات
- مؤتمر
- الكونجرس
- النتائج
- نظرت
- وتعتبر
- عقد
- المثير للجدل
- محادثة
- المحادثات
- تعاون
- منسق
- منظمة
- استطاع
- مجرم
- حرج
- بنية تحتية حرجة
- حاسم
- CTO
- حالياًّ
- الوضع الحالي
- الانترنت
- الأمن السيبراني
- البيانات
- عقد
- الترتيب
- الطلب
- مطلوب
- تطوير
- التطوير التجاري
- صعبة
- مباشرة
- تعطيل
- تشويش
- الاضطرابات
- وثيقة
- قيادة
- الطُرق الفعّالة
- جهد
- جهود
- عناصر
- تشديد
- طاقة
- ضخم
- الكيانات
- البيئة
- خاصة
- إنشاء
- تنفيذ
- تنفيذي
- القائمة
- وسع
- توسع
- خبير
- سقط
- اتحادي
- الحكومة الفيدرالية
- المنظمين الفيدراليين
- قليل
- حقل
- مالي
- تركز
- طعام
- سابق
- فوريستر
- إلى الأمام
- الإطار
- تبدأ من
- وقود
- تماما
- وظائف
- فجوة
- دولار فقط واحصل على خصم XNUMX% على جميع
- منح
- الأهداف
- الذهاب
- حكومة
- الحكومات
- منح
- عظيم
- توجيه
- الإختراق
- مقبض
- معالجة
- الثابت
- صحة الإنسان
- مرتفع
- عقد
- منـزل
- كيفية
- HTTPS
- فكرة
- التأثير
- أثر
- تنفيذ
- نفذت
- أهمية
- مفروض
- تحسينات
- تحسين
- in
- حافز
- الحوافز
- تحفيز
- تتضمن
- يشمل
- بما فيه
- الاشتقاق
- على نحو متزايد
- فرد
- الأفراد
- العالمية
- البنية التحتية
- المبادرات
- معهد
- عالميا
- إدخال
- المُقدّمة
- استثمر
- الاستثمارات
- IT
- القفل
- معروف
- نقص
- يضع
- تشريع
- مستوى
- مسئولية
- على الأرجح
- LINK
- محلي
- بحث
- أبحث
- صيانة
- رائد
- أغلبية
- جعل
- القيام ب
- إدارة
- مدير
- ولايات
- إلزامي
- الشركات المصنعة
- كثير
- تجارة
- مادة
- ذات مغزى
- يعني
- تعرف علي
- ربما
- الحد الأدنى
- زخم
- الأكثر من ذلك
- أكثر
- خطوة
- الاسم
- دولة
- محليات
- حاجة
- جديد
- نيست
- ملاحظة
- عدد
- كثير
- موضوعي
- عروض
- ONE
- جاكيت
- المصدر المفتوح
- عمليات
- مشغلي
- الفرص
- معارض
- طلب
- المنظمات
- أخرى
- أخرى
- أصحاب
- جزء
- الشراكة
- المريض
- أداء
- المكان
- خطة
- خطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- لعب
- سياسي
- فقير
- يحتمل
- قوة
- الممارسات
- رئيس
- الرئيس بايدن
- منع
- مبادئ
- الأولوية
- خاص
- القطاع الخاص
- العمليات
- المعالجات
- إنتاج
- أنتج
- المنتجات
- تعزيز
- مقترح
- اقتراحات
- المقترح
- حماية
- الحماية
- مقدمي
- ويوفر
- الناشرين
- المشتريات
- دفع
- يضع
- الوصول
- إعادة التوازن
- مؤخرا
- اللائحة
- قوانين
- الجهات التنظيمية
- جمهوري
- تطلب
- المتطلبات
- المتطلبات الأساسية
- مرن
- الموارد
- مسؤولية
- مسؤول
- الجوائز
- النوادي الثرية
- خزنة
- السلامة
- قال
- يقول
- حجم
- القطاع
- قطاعات
- تأمين
- تأمين
- أمن
- تسعى
- يبدو
- كبير
- الخدمة
- خدماتنا
- طقم
- باكجات
- نقل
- التحول
- التحولات
- سفينة
- هام
- بشكل ملحوظ
- مماثل
- ببساطة
- صغير
- جاليات
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- الحلول
- بعض
- مصدر
- محدد
- على وجه التحديد
- أصحاب المصلحة
- المعايير
- بدأت
- يبدأ
- الولايه او المحافظه
- ملخص الحساب
- الاستراتيجيين
- الإستراتيجيات
- تعزيز
- تقوية
- ناجح
- هذه
- معاناة
- الموردين
- تزويد
- سلسلة التوريد
- إدارة الأمدادات
- الدعم
- النظامية
- أنظمة
- أخذ
- يأخذ
- الهدف
- الأهداف
- ضريبة
- تقني
- التكنولوجيا
- تكنولوجيا
- التكنولوجيا
- •
- من مشاركة
- أنفسهم
- الأشياء
- تفكير
- طرف ثالث
- التهديد
- الجهات التهديد
- عبر
- أكثر تشددا
- الوقت
- إلى
- اليوم
- جدا
- المواضيع
- الشفافية
- يثير
- us
- تستخدم
- المستخدمين
- Ve
- الباعة
- بواسطة
- Vice President
- الرؤى
- حيوي
- نقاط الضعف
- مياه
- طرق
- ابحث عن
- ما هي تفاصيل
- التي
- في حين
- من الذى
- سوف
- للعمل
- عامل
- أعمال
- سوف
- زفيرنت