Die Biden-Harris-Regierung hat heute eine umfassende neue nationale Cybersicherheitsstrategie angekündigt, die unter anderem darauf abzielt, eine sinnvolle Haftung für Softwareprodukte und -dienste festzulegen und verbindliche Mindestanforderungen an die Cybersicherheit im Bereich kritischer Infrastrukturen festzulegen.
Bei vollständiger Umsetzung wird die Strategie auch die Fähigkeit sowohl bundesstaatlicher als auch privater Stellen stärken, den Betrieb von Bedrohungsakteuren zu stören und zu zerschlagen, und alle Stellen, die Daten von Einzelpersonen verarbeiten, dazu verpflichten, stärker darauf zu achten, wie sie diese Daten schützen.
Ein Hauptziel der Strategie besteht darin, dass die Bundesregulierungsbehörden nach Möglichkeiten suchen, alle Beteiligten über Steuerstrukturen und andere Mechanismen zu besseren Sicherheitspraktiken zu motivieren.
Neuausrichtung der Verantwortung für Cybersicherheit
„[Die Strategie] stellt sich der systemischen Herausforderung, dass ein zu großer Teil der Verantwortung für die Cybersicherheit bei einzelnen Benutzern und kleinen Benutzern liegt“, schrieb Präsident Biden die Einführung in seinen neuen Plan. „Durch die Zusammenarbeit mit der Industrie, der Zivilgesellschaft sowie staatlichen, lokalen, Stammes- und Territorialregierungen werden wir die Verantwortung für die Cybersicherheit effektiver und gerechter gestalten.“
Bidens Strategie zielt darauf ab, Zusammenarbeit und Dynamik in fünf spezifischen Bereichen aufzubauen: Schutz kritischer Infrastrukturen, Unterbrechung des Betriebs und der Infrastruktur von Bedrohungsakteuren, Förderung einer besseren Sicherheit bei Softwareanbietern und Organisationen, die individuelle Daten verarbeiten, Investitionen in widerstandsfähigere Technologien und internationale Zusammenarbeit im Bereich Cybersicherheit.
Von diesen könnten die vorgeschlagenen Initiativen rund um die Sicherheit kritischer Infrastrukturen und die Verlagerung der Haftung auf Softwareanbieter und Datenverarbeiter die größten Auswirkungen haben.
Zu den kritischen Infrastrukturkomponenten von Bidens Strategie gehört ein Vorschlag zur Ausweitung der Mindestanforderungen an die Cybersicherheit für alle Betreiber kritischer Infrastrukturen. Die Vorschriften basieren auf bestehenden Cybersicherheitsstandards und -richtlinien wie dem Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen des National Institute of Standards and Technology (NIST) und den Cybersecurity Performance Goals der Cybersecurity and Infrastructure Security Agency (CISA).
Ein Fokus auf Secure by Design
Die Anforderungen werden leistungsbasiert sein, an sich ändernde Anforderungen angepasst werden können und sich auf die Förderung der Einführung von „Secure-by-Design“-Prinzipien konzentrieren.
„Während freiwillige Ansätze zur Sicherheit kritischer Infrastrukturen zu bedeutenden Verbesserungen geführt haben, hat das Fehlen verbindlicher Anforderungen zu unzureichenden und inkonsistenten Ergebnissen geführt“, heißt es im Strategiedokument. Regulierung kann auch in Sektoren gleiche Wettbewerbsbedingungen schaffen, in denen Betreiber mit anderen im Wettbewerb stehen, um zu wenig für die Sicherheit auszugeben, weil es wirklich keinen Anreiz gibt, bessere Sicherheit zu implementieren. Die Strategie bietet Betreibern kritischer Infrastrukturen, die möglicherweise nicht über die finanziellen und technischen Ressourcen verfügen, um die neuen Anforderungen zu erfüllen, potenziell neue Möglichkeiten zur Sicherung dieser Ressourcen.
Joshua Corman, ehemaliger CISA-Chefstratege und derzeitiger Vizepräsident für Cybersicherheit bei Claroty, sagt, die Entscheidung der Biden-Regierung, der Sicherheit kritischer Infrastrukturen Priorität einzuräumen, sei wichtig.
„Das Land hat erfolgreiche Cyber-Störungen in kritischer Infrastruktur erlebt, die zahlreiche lebenswichtige Funktionen erheblich beeinträchtigt haben, darunter den Zugang zu Wasser, Nahrungsmitteln, Treibstoff und Patientenversorgung, um nur einige zu nennen“, sagt Corman. „Dies sind lebenswichtige Systeme, die zunehmend unter Störungen leiden, und viele der Eigentümer und Betreiber dieser kritischen Infrastruktur sind das, was ich als ‚zielreich, Cyber-arm‘ bezeichne.“
Diese gehören oft zu den attraktivsten Zielen für Bedrohungsakteure, verfügen jedoch über die geringsten Ressourcen, um sich selbst zu schützen, stellt er fest.
Robert DuPree, Manager für Regierungsangelegenheiten bei Telos, sieht die Unterstützung des Kongresses als Schlüssel für Bidens Pläne, die Cybersicherheit kritischer Infrastrukturen zu stärken.
„Der Vorstoß, verbindliche Cybersicherheitsanforderungen für zusätzliche kritische Infrastruktursektoren einzuführen, erfordert in einigen Fällen die Genehmigung des Kongresses, was im aktuellen politischen Umfeld bestenfalls ein langer Weg ist“, sagte er in einer Erklärung. „Die republikanische Mehrheit im Repräsentantenhaus ist philosophisch gegen neue Regierungsmandate und wird der Biden-Regierung wahrscheinlich keine solche Autorität verleihen.“
Anbieter für Softwaresicherheit zur Verantwortung ziehen
In einem wahrscheinlich umstrittenen Schritt legt Bidens neue nationale Cybersicherheitsstrategie auch Wert darauf, Softwareanbieter direkter für die Sicherheit ihrer Technologien verantwortlich zu machen. Der Plan verlagert die Haftung für unsichere Software und Dienste ausdrücklich auf die Anbieter und weg von den Endbenutzern, die die Folgen unsicherer Software tragen.
Im Rahmen dieser Bemühungen wird Bidens Regierung mit dem Kongress zusammenarbeiten, um zu versuchen, Gesetze zu verabschieden, die marktmächtige Softwarehersteller und -herausgeber daran hindern würden, die Haftung einfach vertraglich abzulehnen. Die Strategie bietet einen sicheren Hafen für Organisationen mit nachweislich sicheren Praktiken für die Softwareentwicklung und -wartung.
„Zu viele Anbieter ignorieren Best Practices für sichere Entwicklung, liefern Produkte mit unsicheren Standardkonfigurationen oder bekannten Schwachstellen“ und mit unsicheren Komponenten von Drittanbietern, heißt es in dem Strategiedokument.
Neben der Verlagerung der Haftung auf Softwareanbieter fordert die neue Strategie auch Mindestsicherheitsanforderungen für alle Organisationen, die individuelle Daten, insbesondere Geolokalisierungs- und Gesundheitsdaten, verarbeiten.
Die Unterstützung im Kongress für Bemühungen, die Haftung auf Softwareanbieter zu verlagern, zeigt sich seit über einem Jahrzehnt in Schüben, sagt Brian Fox, CTO und Mitbegründer von Sonatype. "Im Jahr 2013, HR5793 – Gesetz über Cyber Supply Chain Management und Transparenz „Mit dem Royce-Gesetz begann die Diskussion über die Einführung von Software-Stücklisten (SBOM)“, sagt er.
Letztendlich wurde dieser Vorschlag nicht vorangetrieben, aber die Anforderung an alle Softwarelieferanten der Bundesregierung, SBOMs auf Abruf zu erstellen, wurde schließlich in ein Gesetz aufgenommen Mai 2021 Durchführungsverordnung von Präsident Biden, sagt er. „In jüngerer Zeit haben wir das gesehen Gesetz zur Sicherung von Open-Source-Software von 2022 sich durch die Gremien arbeiten. Es scheint klar, dass der Kongress nach einer Möglichkeit sucht, die Branche voranzubringen, und die Strategie legt spezifische neue Elemente fest, die berücksichtigt werden müssen.“
Karotte und Peitsche
Im Rahmen der Bemühungen um ein besseres Sicherheitsverhalten wird die Bundesregierung ihre enorme Einkaufsmacht nutzen, um Software- und Serviceanbieter dazu zu bringen, vertraglich Mindestsicherheitsanforderungen einzuhalten. Es wird Zuschüsse und andere Mechanismen – wie Tarifverfahren und Steuerstrukturen – nutzen, um Organisationen dazu zu bewegen, mehr in Cybersicherheit zu investieren.
Karen Walsh, Expertin für Cybersicherheits-Compliance bei Allegro Solutions, sagt, wenn der Plan wie beabsichtigt funktioniert, könnte er die Denkweise der Unternehmen von einer „Sicherheit bedeutet Strafen“ zu einer „Sicherheit bedeutet, Belohnungen zu erzielen“-Mentalität verändern.
„In vielerlei Hinsicht ähnelt dies der Art und Weise, wie die Regierung bereits Anreize für Initiativen für saubere Energie bietet“, sagt Walsh.
Wiederkämpfen
Ein Hauptschwerpunkt der neuen Strategie liegt auf der Stärkung der Fähigkeiten des Bundes und des Privatsektors, um den Betrieb und die Infrastruktur von Bedrohungsakteuren zu stören. Zu den Plänen gehören die Entwicklung einer gesamtstaatlichen Störungsfähigkeit, eine besser koordinierte Zerstörung krimineller Infrastruktur und Ressourcen sowie die Erschwerung der Nutzung der US-Infrastruktur für Cyber-Bedrohungsoperationen durch Bedrohungsakteure.
„Es ist unwahrscheinlich, dass Bedrohungsakteure in großem Umfang zerschlagen werden“, sagt Allie Mellen, leitende Analystin bei Forrester. „Es ähnelt der Idee von ‚Hack Back‘ – hypothetisch großartig, aber schwer umzusetzen.“
Mellen hält die vorgeschlagene Ausweitung der Regulierung für Anbieter kritischer Infrastrukturen für den mit Abstand wichtigsten Bestandteil der neuen Strategie.
„Es geht nicht nur darum, eine Reihe von Mindestanforderungen an die Cybersicherheit festzulegen, sondern es beginnt auch damit, Technologieanbieter wie Infrastructure-as-a-Service (IaaS)-Unternehmen an diese Anforderungen zu binden und so seine Reichweite zu erweitern“, sagt sie.
Corman von Claroty sagt, dass einige der Vorschläge in der neuen Strategie wahrscheinlich einige harte Gespräche auslösen werden. Aber es sei höchste Zeit, sie zu haben, stellt er fest.
„Kontroversere Themen wie Softwarehaftung werden zugegebenermaßen schwieriger zu erreichen sein“, stellt Corman fest. Aber der Aufwand sei entscheidend, sagt er.
„Es besteht eine erhebliche Lücke zwischen dem aktuellen und dem gewünschten Zustand der Cyber-Resilienz kritischer Infrastrukturen – wir brauchen mutiges Denken und mutiges Handeln, um diese Lücke zu schließen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- Fähigkeit
- Zugang
- Erreichen
- Handlung
- Action
- Akteure
- Zusatz
- Zusätzliche
- haften
- Verwaltung
- adoptieren
- Adoption
- Agentur
- Alle
- bereits
- unter
- Analytiker
- und
- und Infrastruktur
- angekündigt
- Ansätze
- Bereiche
- um
- Aufmerksamkeit
- attraktiv
- Autorität
- Genehmigung
- Zurück
- basierend
- Denken Sie
- weil
- Sein
- BESTE
- Best Practices
- Besser
- zwischen
- Biden
- Biden-Verwaltung
- Bill
- Banknoten
- fett
- Nackenrolle
- Norbert
- breit
- bauen
- rufen Sie uns an!
- Aufrufe
- Fähigkeiten
- österreichische Unternehmen
- Fälle
- Kette
- challenges
- Ändern
- Chef
- Wahl
- saubere Energie
- klar
- näher
- Co-Gründer
- Zusammenarbeit
- Unternehmen
- Wettbewerb
- Compliance
- Komponente
- Komponenten
- Kongress
- Kongress-
- Folgen
- betrachtet
- überlegt
- Vertrag
- umstritten
- Gespräch
- Gespräche
- Zusammenarbeit
- koordiniert
- Unternehmen
- könnte
- Kriminell
- kritischem
- Kritische Infrastruktur
- wichtig
- CTO
- Strom
- Aktuellen Zustand
- Cyber-
- Internet-Sicherheit
- technische Daten
- Jahrzehnte
- Standard
- Demand
- erwünscht
- Entwicklung
- Entwicklung
- schwer
- Direkt
- Störung
- Störung
- Störungen
- Dokument
- Fahren
- Effektiv
- Anstrengung
- Bemühungen
- Elemente
- Betonung
- Energie
- enorm
- Entitäten
- Arbeitsumfeld
- insbesondere
- etablieren
- ausführen
- Exekutive
- vorhandenen
- Erweitern Sie die Funktionalität der
- Expansion
- Experte
- Gefallen
- Bundes-
- Bundesregierung
- föderale Aufsichtsbehörden
- wenige
- Feld
- Revolution
- Setzen Sie mit Achtsamkeit
- Nahrung,
- Früher
- Forrester
- vorwärts
- Unser Ansatz
- für
- Treibstoff
- voll
- Funktionen
- Lücke
- bekommen
- ABSICHT
- Ziele
- gehen
- der Regierung
- Regierungen
- für Balkonkraftwerke Reduzierung
- groß
- Guide
- hacken
- Griff
- Handling
- hart
- Gesundheit
- GUTE
- Halten
- Häuser
- Ultraschall
- HTTPS
- Idee
- Impact der HXNUMXO Observatorien
- wirkt
- implementieren
- umgesetzt
- wichtig
- auferlegte
- Verbesserungen
- Verbesserung
- in
- Incentive
- Incentives
- Anreize
- das
- Dazu gehören
- Einschließlich
- Incorporated
- zunehmend
- Krankengymnastik
- Einzelpersonen
- Energiegewinnung
- Infrastruktur
- Initiativen
- Institut
- International
- Einführung
- Einleitung
- Investieren
- Investments
- IT
- Wesentliche
- bekannt
- Mangel
- Lays
- Gesetzgebung
- Niveau
- Haftung
- wahrscheinlich
- LINK
- aus einer regionalen
- aussehen
- suchen
- Wartung
- Dur
- Mehrheit
- um
- Making
- Management
- Manager
- Mandate
- Alle Tauchgäste müssen eine Tauchversicherung vorweisen,
- Hersteller
- viele
- Markt
- Ihres Materials
- sinnvoll
- Mittel
- Triff
- könnte
- Minimum
- Schwung
- mehr
- vor allem warme
- schlauer bewegen
- Name
- Nation gemacht haben
- National
- Need
- Neu
- nist
- Notizen
- Anzahl
- und viele
- Ziel
- Angebote
- EINEM
- XNUMXh geöffnet
- Open-Source-
- Einkauf & Prozesse
- Betreiber
- Entwicklungsmöglichkeiten
- entgegengesetzt
- Auftrag
- Organisationen
- Andere
- Anders
- Besitzer
- Teil
- Partnerschaft
- Vertrauen bei Patienten
- AUFMERKSAMKEIT
- Leistung
- Ort
- Plan
- Pläne
- Plato
- Datenintelligenz von Plato
- PlatoData
- spielend
- politisch
- Arm
- möglicherweise
- Werkzeuge
- Praktiken
- Präsident
- Präsident Biden
- verhindern
- Grundsätze
- Prioritätsliste
- privat
- privater Sektor
- anpassen
- Prozessoren
- produziert
- Produziert
- Produkte
- Die Förderung der
- Angebot
- Vorschläge
- vorgeschlage
- Risiken zu minimieren
- Sicherheit
- Anbieter
- bietet
- Verlag
- Kauf
- Push
- Versetzt
- erreichen
- Neuverteilung
- kürzlich
- Rechtliches
- Vorschriften
- Regulators
- Republikaner
- erfordern
- Anforderung
- Voraussetzungen:
- federnde
- Downloads
- Verantwortung
- für ihren Verlust verantwortlich.
- Belohnung
- Reiches
- Safe
- Sicherheit
- Said
- sagt
- Skalieren
- Bibliotheken
- Sektoren
- Verbindung
- Sicherung
- Sicherheitdienst
- Sucht
- scheint
- Senior
- Lösungen
- kompensieren
- Sets
- verschieben
- VERSCHIEBUNG
- Schichten
- SCHIFF
- signifikant
- bedeutend
- ähnlich
- einfach
- klein
- Gesellschaft
- Software
- Software-Entwicklung
- Lösungen
- einige
- Quelle
- spezifisch
- speziell
- Stakeholder
- Normen
- begonnen
- beginnt
- Bundesstaat
- Erklärung
- Stratege
- Strategie
- Stärke
- Stärkung
- erfolgreich
- so
- Leiden
- Lieferanten
- liefern
- Supply Chain
- Leitung der Lieferkette
- Support
- systemisch
- Systeme und Techniken
- Nehmen
- nimmt
- Target
- Ziele
- Steuer
- Technische
- Technologies
- Technologie
- Technologie
- Das
- ihr
- sich
- Denken
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- Bedrohung
- Bedrohungsakteure
- Durch
- Fester
- Zeit
- zu
- heute
- auch
- Themen
- Transparenz
- auslösen
- us
- -
- Nutzer
- Ve
- Anbieter
- Vizepräsident:in
- Ansichten
- lebenswichtig
- Sicherheitslücken
- Wasser
- Wege
- Was
- Was ist
- welche
- während
- WHO
- werden wir
- Arbeiten
- arbeiten,
- Werk
- würde
- Zephyrnet
