كولين تيري
أصدر البيت الأبيض ، يوم الأربعاء ، توجيهات بشأن الأمن السيبراني لبائعي البرمجيات كانت بمثابة امتداد لأمر تنفيذي وقع عليه الرئيس جو بايدن في عام 2021.
وقع بايدن "تحسين الأمن السيبراني للأمة" في مايو من عام 2021 ، والذي حدد خططًا لتحديث نهج الأمن السيبراني للولايات المتحدة وتنفيذ تقنيات مثل المصادقة متعددة العوامل. جزء واحد من أمر تنفيذي أشار إلى خطط لتوفير إرشادات للبرنامج الذي تم شراؤه ونشره داخل الشبكات الحكومية ، والذي تم تضمينه في يوم الأربعاء مذكرة.
في البيت الأبيض بيان قال كريس ديروشا ، نائب مدير الأمن السيبراني الفيدرالي ونائب مدير الإنترنت الوطني ، الذي نُشر يوم الأربعاء أيضًا ، إنه في حين أن معايير الجودة الوحيدة لجزء من البرنامج كانت تعمل كما هو معلن عنه ، يجب تطوير التكنولوجيا اليوم بطريقة تجعلها مرنة وآمنة .
"التوجيه ، الذي تم تطويره بمدخلات من القطاعين العام والخاص وكذلك الأوساط الأكاديمية ، يوجه الوكالات إلى استخدام البرامج التي تتوافق فقط مع معايير تطوير البرمجيات الآمنة ، وإنشاء نموذج شهادة ذاتية لمنتجي البرامج والوكالات ، وسيسمح للحكومة الفيدرالية لتحديد الثغرات الأمنية بسرعة عند اكتشاف ثغرات جديدة ".
تطلب إرشادات الأمن السيبراني لبايدن أيضًا من الوكالات الحكومية الفيدرالية الحصول على نموذج شهادة ذاتية من بائع برمجيات يؤكد أن المنتج متوافق مع التوجيهات الأمنية من المعهد الوطني للمعايير والتكنولوجيا (NIST) قبل استخدام أي برنامج جديد.
اعتمادًا على الوكالة ، قد يضطر بائع البرامج أيضًا إلى إثبات الامتثال من خلال القطع الأثرية بما في ذلك فاتورة مواد البرمجيات (SBOM). بالإضافة إلى ذلك ، قد يُطلب من البائع تقديم دليل على أنه يشارك في برنامج الكشف عن الثغرات الأمنية.
في حين أن الأمر التنفيذي والمبادئ التوجيهية لا تتطلب قانونًا من البائعين الخاصين إطلاق برامج آمنة ومتوافقة ، قال DeRusha إن هذا الإجراء كان ضروريًا بعد هجوم سلسلة التوريد SolarWinds في عام 2020. أدت هذه الهجمات الإلكترونية إلى وقوع العديد من الوكالات الحكومية ضحية لانتهاكات البيانات.
"كانت هذه الحادثة واحدة من سلسلة الاختراقات الإلكترونية ونقاط الضعف المهمة في البرامج على مدار العامين الماضيين والتي هددت تقديم الخدمات الحكومية للجمهور ، فضلاً عن سلامة الكميات الهائلة من المعلومات الشخصية وبيانات الأعمال التي يديرها "القطاع الخاص" ، أضاف دروشا في بيانه.
