বিডেনের সাইবার নিরাপত্তা কৌশল সফ্টওয়্যার দায়বদ্ধতার জন্য আহ্বান জানায়, কঠোর সমালোচনামূলক অবকাঠামো সুরক্ষা

বিডেন-হ্যারিস প্রশাসন আজ একটি সুস্পষ্ট নতুন জাতীয় সাইবারসিকিউরিটি কৌশল ঘোষণা করেছে যা অন্যান্য জিনিসের মধ্যে সফ্টওয়্যার পণ্য এবং পরিষেবাগুলির জন্য অর্থপূর্ণ দায়বদ্ধতা প্রতিষ্ঠা করতে চায় এবং গুরুত্বপূর্ণ অবকাঠামো খাতে বাধ্যতামূলক ন্যূনতম সাইবার নিরাপত্তা প্রয়োজনীয়তা নির্ধারণ করে।

সম্পূর্ণরূপে বাস্তবায়িত হলে, কৌশলটি ফেডারেল এবং প্রাইভেট সেক্টর উভয় সংস্থারই হুমকি অভিনেতার ক্রিয়াকলাপগুলিকে ব্যাহত এবং ভেঙে ফেলার ক্ষমতাকে শক্তিশালী করবে এবং ব্যক্তিদের উপর ডেটা পরিচালনা করে এমন সমস্ত সংস্থাকে তারা কীভাবে সেই ডেটা সুরক্ষিত করে তার প্রতি গভীর মনোযোগ দিতে হবে।

কৌশলটির একটি মূল উদ্দেশ্য হল ফেডারেল নিয়ন্ত্রকদের জন্য কর কাঠামো এবং অন্যান্য প্রক্রিয়াগুলির মাধ্যমে আরও ভাল নিরাপত্তা অনুশীলন গ্রহণের জন্য সমস্ত স্টেকহোল্ডারদের উদ্বুদ্ধ করার সুযোগগুলি সন্ধান করা।

সাইবার নিরাপত্তার জন্য দায়িত্বের ভারসাম্য বজায় রাখা

"[কৌশল] পদ্ধতিগত চ্যালেঞ্জ গ্রহণ করে যে সাইবার নিরাপত্তার জন্য অনেক বেশি দায়িত্ব ব্যক্তিগত ব্যবহারকারী এবং ছোট ব্যবহারকারীদের উপর পড়েছে," রাষ্ট্রপতি বিডেন লিখেছেন তার নতুন পরিকল্পনার পরিচয়. "শিল্প, সুশীল সমাজ এবং রাজ্য, স্থানীয়, উপজাতীয় এবং আঞ্চলিক সরকারের সাথে অংশীদারিত্বে কাজ করার মাধ্যমে, আমরা সাইবার নিরাপত্তার দায়িত্বকে আরও কার্যকর এবং ন্যায়সঙ্গত করার জন্য ভারসাম্য বজায় রাখব।"

বিডেনের কৌশলটি পাঁচটি নির্দিষ্ট ক্ষেত্রে সহযোগিতা এবং গতিশীলতা তৈরি করতে চায়: সমালোচনামূলক অবকাঠামো সুরক্ষা, হুমকি অভিনেতা অপারেশন এবং অবকাঠামোর ব্যাঘাত, সফ্টওয়্যার বিক্রেতা এবং ব্যক্তিগত ডেটা পরিচালনাকারী সংস্থাগুলির মধ্যে আরও ভাল সুরক্ষার প্রচার, আরও স্থিতিস্থাপক প্রযুক্তিতে বিনিয়োগ এবং সাইবার নিরাপত্তার বিষয়ে আন্তর্জাতিক সহযোগিতা।

এর মধ্যে, সমালোচনামূলক অবকাঠামো সুরক্ষা এবং সফ্টওয়্যার বিক্রেতা এবং ডেটা প্রসেসরের কাছে দায় স্থানান্তরিত করার প্রস্তাবিত উদ্যোগগুলি সবচেয়ে উল্লেখযোগ্য প্রভাব ফেলতে পারে।

বিডেনের কৌশলের সমালোচনামূলক অবকাঠামো উপাদানের মধ্যে রয়েছে সমালোচনামূলক অবকাঠামোর সমস্ত অপারেটরের জন্য ন্যূনতম সাইবার নিরাপত্তা প্রয়োজনীয়তা প্রসারিত করার প্রস্তাব। প্রবিধানগুলি বিদ্যমান সাইবার নিরাপত্তা মান এবং নির্দেশিকা যেমন ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজির (NIST) ফ্রেমওয়ার্ক ফর ইমপ্রুভিং ক্রিটিক্যাল ইনফ্রাস্ট্রাকচার সাইবারসিকিউরিটি এবং সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সির (CISA) সাইবারসিকিউরিটি পারফরমেন্স গোলগুলির উপর ভিত্তি করে তৈরি করা হবে।

ডিজাইন দ্বারা সুরক্ষিত একটি ফোকাস

প্রয়োজনীয়তাগুলি হবে কর্মক্ষমতা ভিত্তিক, পরিবর্তনের প্রয়োজনীয়তার সাথে খাপ খাইয়ে নেওয়ার এবং সুরক্ষিত-বাই-ডিজাইন নীতিগুলিকে ড্রাইভিং গ্রহণের উপর ফোকাস করা।

"যদিও সমালোচনামূলক অবকাঠামো নিরাপত্তার জন্য স্বেচ্ছাসেবী পদ্ধতির অর্থপূর্ণ উন্নতি হয়েছে, বাধ্যতামূলক প্রয়োজনীয়তার অভাবের ফলে অপর্যাপ্ত এবং অসঙ্গতিপূর্ণ ফলাফল হয়েছে," কৌশল নথিতে বলা হয়েছে। নিয়ন্ত্রণ সেই সেক্টরে খেলার ক্ষেত্রকে সমান করতে পারে যেখানে অপারেটররা নিরাপত্তার জন্য কম খরচ করার জন্য অন্যদের সাথে প্রতিযোগিতায় থাকে কারণ ভাল নিরাপত্তা বাস্তবায়নের জন্য সত্যিই কোন প্রণোদনা নেই। কৌশলটি গুরুত্বপূর্ণ অবকাঠামো অপারেটরদের প্রদান করে যেগুলির কাছে নতুন প্রয়োজনীয়তাগুলি পূরণ করার জন্য আর্থিক এবং প্রযুক্তিগত সংস্থান নাও থাকতে পারে, সেই সংস্থানগুলি সুরক্ষিত করার জন্য সম্ভাব্য নতুন উপায় সহ।

জশুয়া কোরম্যান, প্রাক্তন সিআইএসএ প্রধান কৌশলবিদ এবং ক্ল্যারোটির সাইবার সুরক্ষার বর্তমান ভাইস প্রেসিডেন্ট, বলেছেন যে বিডেন প্রশাসনের সমালোচনামূলক অবকাঠামো সুরক্ষাকে অগ্রাধিকার দেওয়ার পছন্দ একটি গুরুত্বপূর্ণ।

"জাতি সমালোচনামূলক অবকাঠামোতে সফল সাইবার বিঘ্ন দেখেছে যা উল্লেখযোগ্যভাবে পানি, খাদ্য, জ্বালানী এবং রোগীর যত্নের অ্যাক্সেস সহ অসংখ্য লাইফলাইন ফাংশনকে প্রভাবিত করেছে, মাত্র কয়েকটির নাম," Corman বলেছেন। "এগুলি অত্যাবশ্যক সিস্টেম যা ক্রমবর্ধমান ব্যাঘাতের শিকার হচ্ছে, এবং এই সমালোচনামূলক অবকাঠামোর মালিক ও অপারেটরদের মধ্যে অনেকেই যাকে আমি 'লক্ষ্য ধনী, সাইবার দরিদ্র' বলি।"

এগুলি প্রায়শই হুমকি অভিনেতাদের জন্য সবচেয়ে আকর্ষণীয় লক্ষ্যগুলির মধ্যে থাকে তবে তাদের নিজেদের রক্ষা করার জন্য সর্বনিম্ন সংখ্যক সংস্থান রয়েছে, তিনি নোট করেন।

টেলোসের সরকারী বিষয়ক ব্যবস্থাপক রবার্ট ডুপ্রি, সমালোচনামূলক অবকাঠামো সাইবারসিকিউরিটি বাড়ানোর জন্য বিডেনের পরিকল্পনার মূল হিসাবে কংগ্রেসের সমর্থনকে দেখেন।

"অতিরিক্ত গুরুত্বপূর্ণ অবকাঠামো খাতে বাধ্যতামূলক সাইবার নিরাপত্তা প্রয়োজনীয়তা আরোপ করার জন্য কিছু ক্ষেত্রে কংগ্রেসের অনুমোদনের প্রয়োজন হবে, যা বর্তমান রাজনৈতিক পরিবেশে সর্বোত্তমভাবে একটি দীর্ঘশট," তিনি একটি বিবৃতিতে বলেছিলেন। "রিপাবলিকান হাউস সংখ্যাগরিষ্ঠ দার্শনিকভাবে নতুন সরকারী আদেশের বিরোধী এবং বিডেন প্রশাসনকে এমন কর্তৃত্ব দেওয়ার সম্ভাবনা নেই।"

সফ্টওয়্যার নিরাপত্তার জন্য বিক্রেতাদের দায়বদ্ধ রাখা

একটি বিতর্কিত পদক্ষেপের সম্ভাবনার মধ্যে, বিডেনের নতুন জাতীয় সাইবার নিরাপত্তা কৌশলটি সফ্টওয়্যার বিক্রেতাদের তাদের প্রযুক্তির সুরক্ষার জন্য আরও সরাসরি দায়বদ্ধ রাখার উপর জোর দেয়। পরিকল্পনাটি বিশেষভাবে বিক্রেতাদের কাছে অনিরাপদ সফ্টওয়্যার এবং পরিষেবাগুলির জন্য দায়বদ্ধতা স্থানান্তরিত করে এবং শেষ ব্যবহারকারীদের থেকে দূরে রাখে যারা অনিরাপদ সফ্টওয়্যারের পরিণতি বহন করে।

প্রচেষ্টার অংশ হিসাবে, বিডেনের প্রশাসন কংগ্রেসের সাথে আইন প্রণয়নের চেষ্টা এবং পাস করার জন্য কাজ করবে যা সফ্টওয়্যার নির্মাতা এবং প্রকাশকদের বাজার ক্ষমতা সহ চুক্তির মাধ্যমে দায় অস্বীকার করতে বাধা দেবে। কৌশলটি সফ্টওয়্যার বিকাশ এবং রক্ষণাবেক্ষণের জন্য প্রত্যক্ষভাবে নিরাপদ অনুশীলন সহ সংস্থাগুলির জন্য একটি নিরাপদ আশ্রয় প্রদান করে।

"অনেক বিক্রেতা নিরাপদ উন্নয়নের জন্য সর্বোত্তম অনুশীলন উপেক্ষা করে, অনিরাপদ ডিফল্ট কনফিগারেশন সহ পণ্যগুলি বা পরিচিত দুর্বলতাগুলিকে উপেক্ষা করে," এবং অনিরাপদ তৃতীয় পক্ষের উপাদানগুলির সাথে, কৌশল নথিতে বলা হয়েছে।

সফ্টওয়্যার বিক্রেতাদের কাছে দায় স্থানান্তর করার পাশাপাশি, নতুন কৌশলটি পৃথক ডেটা বিশেষ করে ভূ-অবস্থান এবং স্বাস্থ্য ডেটা পরিচালনাকারী সমস্ত সংস্থার জন্য ন্যূনতম সুরক্ষা প্রয়োজনীয়তাগুলির জন্যও আহ্বান জানিয়েছে।

Sonatype-এর CTO এবং সহ-প্রতিষ্ঠাতা ব্রায়ান ফক্স বলেছেন, সফ্টওয়্যার বিক্রেতাদের কাছে দায় পরিবর্তন করার প্রচেষ্টার জন্য কংগ্রেসে সমর্থন এক দশকেরও বেশি সময় ধরে ফিট এবং শুরু হয়েছে। "২ 2013 তে, HR5793 — সাইবার সাপ্লাই চেইন ম্যানেজমেন্ট অ্যান্ড ট্রান্সপারেন্সি অ্যাক্ট রয়েস বিল নামে পরিচিত সফ্টওয়্যার বিল অফ ম্যাটেরিয়াল (এসবিওএম) প্রবর্তনের চারপাশে কথোপকথন শুরু করেছিল,” তিনি বলেছেন।

শেষ পর্যন্ত সেই প্রস্তাবটি এগিয়ে যায়নি, কিন্তু ফেডারেল সরকারের কাছে সমস্ত সফ্টওয়্যার সরবরাহকারীদের চাহিদা অনুযায়ী SBOM তৈরি করার প্রয়োজনীয়তা একটি মে 2021 নির্বাহী আদেশ রাষ্ট্রপতি বিডেনের কাছ থেকে, তিনি বলেছেন। “আরো সম্প্রতি, আমরা দেখেছি 2022 সালের ওপেন সোর্স সফ্টওয়্যার আইন সুরক্ষিত করা কমিটির মাধ্যমে কাজ করছে। এটা স্পষ্ট যে কংগ্রেস শিল্পকে এগিয়ে নিয়ে যাওয়ার উপায় খুঁজছে এবং কৌশলটি বিবেচনা করার জন্য নির্দিষ্ট নতুন উপাদানগুলিকে তুলে ধরেছে।"

গাজর এবং লাঠি

উন্নত নিরাপত্তা আচরণের নির্দেশনার প্রচেষ্টার অংশ হিসাবে, ফেডারেল সরকার সফ্টওয়্যার এবং পরিষেবা সরবরাহকারীদের চুক্তিবদ্ধভাবে ন্যূনতম সুরক্ষা প্রয়োজনীয়তাগুলি মেনে চলার জন্য তার বিশাল ক্রয় ক্ষমতা ব্যবহার করবে। এটি অনুদান এবং অন্যান্য প্রক্রিয়া ব্যবহার করবে - যেমন রেট তৈরির প্রক্রিয়া এবং ট্যাক্স কাঠামো - সংস্থাগুলিকে সাইবার নিরাপত্তায় আরও বিনিয়োগ করার জন্য।

অ্যালেগ্রো সলিউশনের সাইবারসিকিউরিটি কমপ্লায়েন্স বিশেষজ্ঞ কারেন ওয়ালশ বলেছেন, যদি পরিকল্পনাটি উদ্দেশ্য অনুযায়ী কাজ করে তবে এটি কর্পোরেট মানসিকতাকে "নিরাপত্তা মানে জরিমানা" থেকে "নিরাপত্তা মানে পুরস্কার অর্জন" মানসিকতায় স্থানান্তর করতে পারে।

ওয়ালশ বলেছেন, "অনেক উপায়ে, এটি সরকার ইতিমধ্যেই ক্লিন এনার্জি উদ্যোগের জন্য যেভাবে প্রণোদনা দেয় তার অনুরূপ।"

পিছনে যুদ্ধ

নতুন কৌশলের একটি প্রধান ফোকাস হুমকি অভিনেতা অপারেশন এবং অবকাঠামো ব্যাহত করতে ফেডারেল এবং প্রাইভেট সেক্টরের ক্ষমতা জোরদার করা। পরিকল্পনাগুলির মধ্যে রয়েছে একটি সম্পূর্ণ-সরকারি বিঘ্নিত করার ক্ষমতা বিকাশ, অপরাধমূলক অবকাঠামো এবং সংস্থানগুলির আরও সমন্বিত টেকডাউন, এবং হুমকি অভিনেতাদের জন্য সাইবার-হুমকি অপারেশনের জন্য মার্কিন অবকাঠামো ব্যবহার করা কঠিন করে তোলা।

ফরেস্টারের একজন সিনিয়র বিশ্লেষক অ্যালি মেলেন বলেছেন, "হুমকি অভিনেতাদের বিচ্ছিন্ন করা একটি বিস্তৃত পরিসরে ঘটতে পারে না।" "এটি 'হ্যাক ব্যাক' ধারণার অনুরূপ - অনুমানগতভাবে দুর্দান্ত, কিন্তু কার্যকর করা কঠিন।"

মেলেন সমালোচনামূলক অবকাঠামো সরবরাহকারীদের উপর প্রবিধানের প্রস্তাবিত সম্প্রসারণকে নতুন কৌশলের সবচেয়ে গুরুত্বপূর্ণ উপাদান হিসাবে বিবেচনা করেন।

"এটি কেবলমাত্র ন্যূনতম সাইবার নিরাপত্তা প্রয়োজনীয়তাগুলির একটি সেট স্থাপন করার জন্যই নয়, এটি প্রযুক্তি প্রদানকারীদের যেমন অবকাঠামো-এ-সার্ভিস (আইএএএস) কোম্পানিগুলিকে এই প্রয়োজনীয়তার সাথে লিঙ্ক করতে শুরু করে, এর নাগাল প্রসারিত করে," সে বলে৷

Claroty's Corman বলেছেন নতুন কৌশলের কিছু প্রস্তাব সম্ভবত কিছু কঠিন কথোপকথনকে ট্রিগার করবে। তবে সেগুলি পাওয়ার সময় এসেছে, তিনি নোট করেছেন।

"আরও বিতর্কিত বিষয়, যেমন সফ্টওয়্যার দায়বদ্ধতা, স্বীকার করেই অর্জন করা কঠিন হতে চলেছে," কোরম্যান নোট করে৷ কিন্তু প্রচেষ্টা অত্যন্ত গুরুত্বপূর্ণ, তিনি বলেছেন।

"সমালোচনামূলক অবকাঠামো সাইবার-স্থিতিস্থাপকতার জন্য বর্তমান রাষ্ট্র এবং কাঙ্ক্ষিত রাষ্ট্রের মধ্যে একটি উল্লেখযোগ্য ব্যবধান রয়েছে - সেই ব্যবধানকে সংকুচিত করার জন্য আমাদের সাহসী চিন্তাভাবনা এবং সাহসী পদক্ষেপের প্রয়োজন।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security