تدعو استراتيجية الأمن السيبراني لبايدن إلى المسؤولية عن البرامج وتشديد أمن البنية التحتية الحرجة

أعلنت إدارة بايدن هاريس اليوم عن استراتيجية وطنية شاملة جديدة للأمن السيبراني تسعى ، من بين أمور أخرى ، إلى تحديد مسؤولية ذات مغزى عن منتجات وخدمات البرمجيات وتضع الحد الأدنى من متطلبات الأمن السيبراني الإلزامي في قطاع البنية التحتية الحيوية.

عند تنفيذها بالكامل ، ستعزز الاستراتيجية أيضًا قدرة كيانات القطاعين الفيدرالي والخاص على تعطيل وتفكيك عمليات الجهات الفاعلة في التهديد ، وستطلب من جميع الكيانات التي تتعامل مع البيانات الخاصة بالأفراد إيلاء اهتمام أكبر لكيفية حماية تلك البيانات.

يتمثل أحد الأهداف الرئيسية للاستراتيجية في أن يبحث المنظمون الفيدراليون عن فرص لتحفيز جميع أصحاب المصلحة على تبني ممارسات أمنية أفضل عبر الهياكل الضريبية والآليات الأخرى.

إعادة التوازن بين المسؤولية عن الأمن السيبراني

كتب الرئيس بايدن في كتابه "[الاستراتيجية] تواجه التحدي النظامي المتمثل في أن قدرًا كبيرًا من المسؤولية عن الأمن السيبراني يقع على عاتق المستخدمين الفرديين وصغار المستخدمين" مقدمة لخطته الجديدة. "من خلال العمل بالشراكة مع الصناعة والمجتمع المدني وحكومات الولايات والحكومات المحلية والقبلية والإقليمية ، سنعيد التوازن بين مسؤولية الأمن السيبراني ليكون أكثر فعالية وإنصافًا."

تسعى استراتيجية بايدن إلى بناء التعاون والزخم حول خمسة مجالات محددة: حماية البنية التحتية الحيوية ، وتعطيل عمليات وبنية تحتية للمخاطر ، وتعزيز أمان أفضل بين بائعي البرامج والمنظمات التي تتعامل مع البيانات الفردية ، والاستثمارات في تقنيات أكثر مرونة ، والتعاون الدولي في مجال الأمن السيبراني.

من بين هذه المبادرات المقترحة حول أمن البنية التحتية الحيوية وتحويل المسؤولية إلى بائعي البرمجيات ومعالجي البيانات يمكن أن يكون لها الأثر الأكثر أهمية.

يتضمن مكون البنية التحتية الحيوية في إستراتيجية بايدن اقتراحًا لتوسيع الحد الأدنى من متطلبات الأمن السيبراني لجميع مشغلي البنية التحتية الحيوية. ستستند اللوائح إلى معايير وإرشادات الأمن السيبراني الحالية مثل إطار عمل المعهد الوطني للمعايير والتكنولوجيا (NIST) لتحسين الأمن السيبراني للبنية التحتية الحرجة والأمن السيبراني وأمن البنية التحتية (CISA) أهداف أداء الأمن السيبراني.

التركيز على الأمان عن طريق التصميم

ستكون المتطلبات قائمة على الأداء ، وقابلة للتكيف مع المتطلبات المتغيرة ، وتركز على دفع تبني مبادئ الأمان حسب التصميم.

وقالت وثيقة الإستراتيجية: "في حين أن الأساليب الطوعية لأمن البنية التحتية الحيوية قد أسفرت عن تحسينات ذات مغزى ، فإن الافتقار إلى المتطلبات الإلزامية أدى إلى نتائج غير كافية وغير متسقة". يمكن للتنظيم أيضًا أن يوازن ساحة اللعب في القطاعات التي يتنافس فيها المشغلون مع الآخرين لتقليل الإنفاق على الأمن لأنه لا يوجد حافز فعليًا لتنفيذ أمان أفضل. توفر الاستراتيجية لمشغلي البنية التحتية المهمين الذين قد لا يمتلكون الموارد المالية والتقنية لتلبية المتطلبات الجديدة ، مع سبل جديدة محتملة لتأمين تلك الموارد.

يقول جوشوا كورمان ، كبير استراتيجيي CISA السابق ونائب الرئيس الحالي للسلامة الإلكترونية في Claroty ، إن اختيار إدارة بايدن لجعل أمن البنية التحتية الحيوية أولوية مهمة.

يقول كورمان: "لقد شهدت الأمة اضطرابات إلكترونية ناجحة في البنية التحتية الحيوية والتي أثرت بشكل كبير على العديد من وظائف شريان الحياة ، بما في ذلك الوصول إلى المياه والغذاء والوقود ورعاية المرضى ، على سبيل المثال لا الحصر". "هذه أنظمة حيوية تعاني بشكل متزايد من الاضطرابات ، والعديد من مالكي ومشغلي هذه البنية التحتية الحيوية هم ما أسميه 'استهداف الأغنياء والفقراء الإلكترونيين.' '

ويشير إلى أن هذه غالبًا ما تكون من بين الأهداف الأكثر جاذبية للجهات الفاعلة في مجال التهديد ، ولكنها تمتلك أقل عدد من الموارد لحماية نفسها.

يرى روبرت دوبري ، مدير الشؤون الحكومية في Telos ، أن دعم الكونجرس هو مفتاح خطط بايدن لتعزيز الأمن السيبراني للبنية التحتية الحيوية.

وقال في بيان: "إن الدفع لفرض متطلبات الأمن السيبراني الإلزامية على قطاعات البنية التحتية الحيوية الإضافية سيحتاج إلى إذن من الكونجرس في بعض الحالات ، وهو الأمر في البيئة السياسية الحالية بعيد المدى في أحسن الأحوال". "الأغلبية في مجلس النواب الجمهوري تعارض فلسفيًا التفويضات الحكومية الجديدة وليس من المرجح أن تمنح إدارة بايدن هذه السلطة".

محاسبة البائعين على أمن البرمجيات

في خطوة من المرجح أن تكون مثيرة للجدل ، تركز استراتيجية الأمن السيبراني الوطنية الجديدة لبايدن أيضًا على تحميل بائعي البرامج مسؤولية مباشرة أكبر عن أمن تقنياتهم. تنقل الخطة على وجه التحديد المسؤولية عن البرامج والخدمات غير الآمنة إلى البائعين وبعيدًا عن المستخدمين النهائيين الذين يتحملون عواقب البرامج غير الآمنة.

كجزء من هذا الجهد ، ستعمل إدارة بايدن مع الكونجرس لمحاولة تمرير تشريع من شأنه أن يمنع مصنعي البرمجيات والناشرين الذين يتمتعون بقوة السوق من التخلي عن المسؤولية ببساطة عن طريق العقد. توفر الإستراتيجية ملاذًا آمنًا للمؤسسات التي لديها ممارسات آمنة بشكل واضح لتطوير البرمجيات وصيانتها.

قالت وثيقة الإستراتيجية: "يتجاهل عدد كبير جدًا من البائعين أفضل الممارسات للتطوير الآمن ، أو يشحن المنتجات ذات التكوينات الافتراضية غير الآمنة ، أو الثغرات المعروفة" ، ومع مكونات الطرف الثالث غير الآمنة.

بالإضافة إلى تحويل المسؤولية إلى بائعي البرامج ، فإن الإستراتيجية الجديدة تدعو أيضًا إلى الحد الأدنى من متطلبات الأمان لجميع المؤسسات التي تتعامل مع البيانات الفردية وخاصة تحديد الموقع الجغرافي والبيانات الصحية.

لقد تجلى الدعم في الكونجرس لجهود تحويل المسؤولية إلى بائعي البرمجيات في شكل نوبات وبدأ منذ أكثر من عقد ، كما يقول برايان فوكس ، كبير مسؤولي التكنولوجيا والمؤسس المشارك لشركة Sonatype. "في سنة 2013، HR5793 - قانون الشفافية وإدارة سلسلة التوريد السيبراني المعروف باسم Royce Bill بدأ المحادثة حول تقديم فواتير مواد البرمجيات (SBOM) ، "كما يقول.

في نهاية المطاف ، لم يتحرك هذا الاقتراح للأمام ، ولكن مطلب جميع موردي البرمجيات للحكومة الفيدرالية بإنتاج SBOMs عند الطلب انتهى به الأمر إلى أن يتم دمجها في مايو 2021 الأمر التنفيذي من الرئيس بايدن ، كما يقول. "في الآونة الأخيرة ، رأينا قانون تأمين البرمجيات مفتوحة المصدر لعام 2022 يشق طريقه من خلال اللجان. يبدو من الواضح أن الكونجرس يبحث عن طريقة لدفع الصناعة إلى الأمام ، وتضع الإستراتيجية عناصر جديدة محددة يجب أخذها في الاعتبار ".

العصا و الجزرة

كجزء من الجهود المبذولة لتوجيه سلوك أمني أفضل ، ستستخدم الحكومة الفيدرالية نفوذها الشرائي الهائل لجعل موردي البرامج والخدمات يلتزمون تعاقديًا بالحد الأدنى من متطلبات الأمان. سيستخدم المنح والآليات الأخرى - مثل عمليات تحديد الأسعار والهياكل الضريبية - لحمل المنظمات على الاستثمار بشكل أكبر في الأمن السيبراني.

تقول كارين والش ، خبيرة الامتثال للأمن السيبراني في Allegro Solutions ، إذا نجحت الخطة على النحو المنشود ، فيمكنها تحويل عقليات الشركة من عقلية "الأمان يعني العقوبات" إلى عقلية "الأمان يعني الحصول على المكافآت".

يقول والش: "من نواحٍ عديدة ، هذا مشابه للطريقة التي تقدم بها الحكومة بالفعل حوافز لمبادرات الطاقة النظيفة".

القتال مرة أخرى

ينصب أحد مجالات التركيز الرئيسية للاستراتيجية الجديدة على تعزيز قدرات القطاعين الاتحادي والخاص لتعطيل عمليات الفاعل المهدد والبنية التحتية. تتضمن الخطط تطوير قدرة تعطل الحكومة بأكملها ، وعمليات إزالة أكثر تنسيقًا للبنية التحتية والموارد الإجرامية ، وتجعل من الصعب على الجهات الفاعلة في التهديد استخدام البنية التحتية الأمريكية لعمليات التهديد الإلكتروني.

يقول ألي ميلين ، كبير المحللين في شركة Forrester: "من غير المرجح أن يتم تفكيك الجهات الفاعلة في التهديد على نطاق واسع". "إنها مشابهة لفكرة" الاختراق "- رائعة افتراضيًا ، ولكن من الصعب تنفيذها."

يعتبر ميلين أن التوسيع المقترح للأنظمة المتعلقة بمقدمي خدمات البنية التحتية الحيوية هو أهم عنصر في الاستراتيجية الجديدة.

وتقول: "إنها لا تتطلع فقط إلى إنشاء مجموعة من الحد الأدنى من متطلبات الأمن السيبراني ، ولكنها تبدأ أيضًا في ربط مزودي التكنولوجيا مثل شركات البنية التحتية كخدمة (IaaS) بهذه المتطلبات ، وتوسيع نطاق وصولها".

يقول كلاروتي كورمان إن بعض المقترحات في الإستراتيجية الجديدة ستثير على الأرجح بعض المحادثات الصعبة. لكنه يشير إلى أن الوقت قد حان للحصول عليها.

يلاحظ كورمان أن "الموضوعات الأكثر إثارة للجدل ، مثل مسؤولية البرامج ، سيكون من المسلم به أن تحقيقها سيكون أصعب". لكنه يقول إن الجهد حاسم.

"هناك فجوة كبيرة بين الوضع الحالي والحالة المرغوبة من أجل المرونة الإلكترونية للبنية التحتية الحيوية - نحن بحاجة إلى تفكير جريء وإجراءات جريئة من أجل تضييق هذه الفجوة."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security