Det Hvide Hus udsender Cybersikkerhedsvejledning til softwareleverandører

Udgivet på: September 16, 2022

Det Hvide Hus udgav onsdag vejledning om cybersikkerhed for softwareleverandører, der fungerede som en forlængelse af en bekendtgørelse, som præsident Joe Biden underskrev i 2021.

Biden underskrev "Improving the Nation's Cybersecurity" i maj 2021, som skitserede planer om at modernisere USA's cybersikkerhedstilgang og implementere teknikker som multifaktorautentificering. Den ene del af udøvende ordre refererede planer om at give retningslinjer for den software, der er købt og implementeret inden for regeringsnetværk, som var indeholdt i onsdagens memorandum.

I et hvidt hus erklæring også offentliggjort onsdag, sagde Federal CISO og vicenational cyberdirektør Chris DeRusha, at selvom de eneste kvalitetskriterier for et stykke software plejede at være, om det fungerede som annonceret, skal teknologi i dag udvikles på en måde, der gør det modstandsdygtigt og sikkert. .

"Vejledningen, der er udviklet med input fra den offentlige og private sektor samt den akademiske verden, pålægger agenturer kun at bruge software, der overholder sikre softwareudviklingsstandarder, opretter en selvattesteringsformular for softwareproducenter og -agenturer og vil tillade den føderale regering for hurtigt at identificere sikkerhedshuller, når nye sårbarheder opdages,” sagde han.

Bidens cybersikkerhedsvejledning krævede også, at føderale regeringsagenturer erhvervede en selvattestationsformular fra en softwareleverandør, der bekræfter, at produktet er i overensstemmelse med sikkerhedsvejledningen fra National Institute of Standards and Technology (NIST) før du bruger ny software.

Afhængigt af agenturet skal softwareleverandøren muligvis også bevise overholdelse gennem artefakter, herunder en softwarestykliste (SBOM). Derudover kan leverandøren være forpligtet til at fremlægge bevis for, at den deltager i et program til oplysning om sårbarhed.

Selvom bekendtgørelsen og retningslinjerne ikke lovligt kræver, at private leverandører frigiver sikker og kompatibel software, sagde DeRusha, at denne handling var nødvendig efter SolarWinds forsyningskædeangreb i 2020. Dette cyberangreb førte til, at flere offentlige myndigheder blev ofre for databrud.

"Denne hændelse var en af ​​en række cyberindtrængen og betydelige softwaresårbarheder i løbet af de sidste to år, der har truet leveringen af ​​offentlige tjenester til offentligheden, såvel som integriteten af ​​enorme mængder af personlige oplysninger og forretningsdata, der administreres af den private sektor," tilføjede DeRusha i sin erklæring.