Η στρατηγική του Μπάιντεν για την κυβερνοασφάλεια απαιτεί ευθύνη λογισμικού, αυστηρότερη ασφάλεια υποδομής ζωτικής σημασίας

Η κυβέρνηση Μπάιντεν-Χάρις ανακοίνωσε σήμερα μια σαρωτική νέα Εθνική Στρατηγική Κυβερνοασφάλειας που, μεταξύ άλλων, επιδιώκει να θεσπίσει ουσιαστική ευθύνη για προϊόντα και υπηρεσίες λογισμικού και θέτει υποχρεωτικές ελάχιστες απαιτήσεις κυβερνοασφάλειας στον τομέα των υποδομών ζωτικής σημασίας.

Όταν εφαρμοστεί πλήρως, η στρατηγική θα ενισχύσει επίσης την ικανότητα των φορέων του ομοσπονδιακού και του ιδιωτικού τομέα να διακόπτουν και να διαλύουν τις λειτουργίες των φορέων απειλών και να απαιτεί από όλες τις οντότητες που χειρίζονται δεδομένα για άτομα να δίνουν μεγαλύτερη προσοχή στον τρόπο με τον οποίο προστατεύουν αυτά τα δεδομένα.

Ένας βασικός στόχος της στρατηγικής είναι οι ομοσπονδιακές ρυθμιστικές αρχές να αναζητήσουν ευκαιρίες για να δώσουν κίνητρα σε όλους τους ενδιαφερόμενους φορείς να υιοθετήσουν καλύτερες πρακτικές ασφάλειας μέσω φορολογικών δομών και άλλων μηχανισμών.

Εξισορρόπηση της Ευθύνης για την Κυβερνοασφάλεια

«[Η στρατηγική] αντιμετωπίζει τη συστημική πρόκληση ότι μεγάλο μέρος της ευθύνης για την ασφάλεια στον κυβερνοχώρο έχει πέσει σε μεμονωμένους χρήστες και μικρούς χρήστες», έγραψε ο Πρόεδρος Μπάιντεν στο την εισαγωγή στο νέο του σχέδιο. «Δουλεύοντας σε συνεργασία με τη βιομηχανία, την κοινωνία των πολιτών και τις κρατικές, τοπικές, φυλετικές και εδαφικές κυβερνήσεις, θα εξισορροπήσουμε εκ νέου την ευθύνη για την ασφάλεια στον κυβερνοχώρο να είναι πιο αποτελεσματική και δίκαιη».

Η στρατηγική του Μπάιντεν επιδιώκει να οικοδομήσει τη συνεργασία και τη δυναμική γύρω από πέντε συγκεκριμένους τομείς: προστασία κρίσιμων υποδομών, διακοπή λειτουργίας και υποδομής του παράγοντα απειλής, προώθηση καλύτερης ασφάλειας μεταξύ προμηθευτών λογισμικού και οργανισμών που χειρίζονται μεμονωμένα δεδομένα, επενδύσεις σε πιο ανθεκτικές τεχνολογίες και διεθνής συνεργασία για την ασφάλεια στον κυβερνοχώρο.

Από αυτές, οι προτεινόμενες πρωτοβουλίες σχετικά με την ασφάλεια των υποδομών ζωτικής σημασίας και τη μετατόπιση της ευθύνης σε προμηθευτές λογισμικού και επεξεργαστές δεδομένων θα μπορούσαν να έχουν τον πιο σημαντικό αντίκτυπο.

Το στοιχείο ζωτικής σημασίας υποδομής της στρατηγικής του Μπάιντεν περιλαμβάνει μια πρόταση για την επέκταση των ελάχιστων απαιτήσεων κυβερνοασφάλειας για όλους τους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας. Οι κανονισμοί θα βασίζονται σε υπάρχοντα πρότυπα και οδηγίες κυβερνοασφάλειας, όπως το Πλαίσιο του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) για τη βελτίωση της ασφάλειας στον κυβερνοχώρο ζωτικής σημασίας και τους στόχους απόδοσης κυβερνοασφάλειας της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA).

Εστίαση στο Secure by Design

Οι απαιτήσεις θα βασίζονται στην απόδοση, θα προσαρμόζονται στις μεταβαλλόμενες απαιτήσεις και θα επικεντρώνονται στην υιοθέτηση αρχών ασφαλούς σχεδίασης.

«Ενώ οι εθελοντικές προσεγγίσεις για την ασφάλεια των υποδομών ζωτικής σημασίας έχουν επιφέρει σημαντικές βελτιώσεις, η έλλειψη υποχρεωτικών απαιτήσεων έχει οδηγήσει σε ανεπαρκή και ασυνεπή αποτελέσματα», αναφέρεται στο έγγραφο στρατηγικής. Η ρύθμιση μπορεί επίσης να εξισώσει τους όρους ανταγωνισμού σε τομείς όπου οι φορείς εκμετάλλευσης βρίσκονται σε ανταγωνισμό με άλλους για να δαπανήσουν ελάχιστα για την ασφάλεια, επειδή πραγματικά δεν υπάρχει κίνητρο για την εφαρμογή καλύτερης ασφάλειας. Η στρατηγική παρέχει στους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας που ενδέχεται να μην έχουν τους οικονομικούς και τεχνικούς πόρους για να ανταποκριθούν στις νέες απαιτήσεις, με δυνητικά νέους τρόπους για την εξασφάλιση αυτών των πόρων.

Ο Τζόσουα Κόρμαν, πρώην επικεφαλής στρατηγικής της CISA και νυν αντιπρόεδρος για την ασφάλεια στον κυβερνοχώρο στο Claroty, λέει ότι η επιλογή της κυβέρνησης Μπάιντεν να θέσει ως προτεραιότητα την ασφάλεια των υποδομών ζωτικής σημασίας είναι σημαντική.

«Το έθνος έχει δει επιτυχημένες διαταραχές στον κυβερνοχώρο σε κρίσιμες υποδομές που έχουν επηρεάσει σημαντικά πολλές λειτουργίες σωσίβων, συμπεριλαμβανομένης της πρόσβασης σε νερό, τροφή, καύσιμα και φροντίδα ασθενών», λέει ο Corman. «Αυτά είναι ζωτικής σημασίας συστήματα που υφίστανται ολοένα και περισσότερες διακοπές και πολλοί από τους ιδιοκτήτες και διαχειριστές αυτής της κρίσιμης υποδομής είναι αυτό που αποκαλώ «στοχευόμενοι πλούσιοι, φτωχοί στον κυβερνοχώρο»».

Αυτοί είναι συχνά από τους πιο ελκυστικούς στόχους για τους παράγοντες απειλών, αλλά διαθέτουν τους λιγότερους πόρους για να προστατευθούν, σημειώνει.

Ο Robert DuPree, διευθυντής κυβερνητικών υποθέσεων στην Telos, θεωρεί την υποστήριξη του Κογκρέσου ως κλειδί για τα σχέδια του Μπάιντεν για την ενίσχυση της ασφάλειας στον κυβερνοχώρο ζωτικής σημασίας.

«Η ώθηση για την επιβολή υποχρεωτικών απαιτήσεων κυβερνοασφάλειας σε πρόσθετους τομείς υποδομής κρίσιμης σημασίας θα χρειαστεί έγκριση από το Κογκρέσο σε ορισμένες περιπτώσεις, κάτι που στο τρέχον πολιτικό περιβάλλον είναι στην καλύτερη περίπτωση μια μεγάλη ευκαιρία», είπε σε δήλωση. «Η πλειοψηφία των Ρεπουμπλικανών της Βουλής είναι φιλοσοφικά αντίθετη με τις νέες κυβερνητικές εντολές και δεν είναι πιθανό να δώσει στην κυβέρνηση Μπάιντεν τέτοια εξουσία».

Κρατώντας τους προμηθευτές υπεύθυνους για την ασφάλεια λογισμικού

Σε κάτι που είναι πιθανό να αποτελέσει αμφιλεγόμενη κίνηση, η νέα εθνική στρατηγική κυβερνοασφάλειας του Μπάιντεν δίνει επίσης έμφαση στο να θεωρεί τους προμηθευτές λογισμικού πιο άμεσα υπεύθυνους για την ασφάλεια των τεχνολογιών τους. Το σχέδιο μεταθέτει συγκεκριμένα την ευθύνη για ανασφαλές λογισμικό και υπηρεσίες στους προμηθευτές και μακριά από τους τελικούς χρήστες που φέρουν τις συνέπειες του ανασφαλούς λογισμικού.

Ως μέρος της προσπάθειας, η κυβέρνηση του Μπάιντεν θα συνεργαστεί με το Κογκρέσο για να προσπαθήσει να περάσει νομοθεσία που θα εμπόδιζε τους κατασκευαστές λογισμικού και τους εκδότες με ισχύ στην αγορά να αποποιηθούν απλώς την ευθύνη βάσει σύμβασης. Η στρατηγική παρέχει ένα ασφαλές λιμάνι για οργανισμούς με αποδεδειγμένα ασφαλείς πρακτικές ανάπτυξης και συντήρησης λογισμικού.

"Πολλοί προμηθευτές αγνοούν τις βέλτιστες πρακτικές για ασφαλή ανάπτυξη, αποστέλλουν προϊόντα με μη ασφαλείς προεπιλεγμένες διαμορφώσεις ή γνωστές ευπάθειες" και με μη ασφαλή στοιχεία τρίτων, αναφέρεται στο έγγραφο στρατηγικής.

Εκτός από τη μετατόπιση της ευθύνης στους προμηθευτές λογισμικού, η νέα στρατηγική απαιτεί επίσης ελάχιστες απαιτήσεις ασφαλείας για όλους τους οργανισμούς που χειρίζονται μεμονωμένα δεδομένα, ιδίως δεδομένα γεωγραφικής τοποθεσίας και υγείας.

Η υποστήριξη στο Κογκρέσο για τις προσπάθειες μετατόπισης της ευθύνης στους προμηθευτές λογισμικού έχει εκδηλωθεί με κρίσεις και έχει ξεκινήσει εδώ και πάνω από μια δεκαετία, λέει ο Brian Fox, CTO και συνιδρυτής της Sonatype. "Το 2013, HR5793 — Νόμος για τη διαχείριση και διαφάνεια της αλυσίδας εφοδιασμού στον κυβερνοχώρο γνωστός ως ο Royce Bill ξεκίνησε τη συζήτηση γύρω από την εισαγωγή των λογαριασμών υλικού (SBOM)», λέει.

Τελικά αυτή η πρόταση δεν προχώρησε, αλλά η απαίτηση για όλους τους προμηθευτές λογισμικού στην ομοσπονδιακή κυβέρνηση να παράγουν SBOM κατά παραγγελία κατέληξε να ενσωματωθεί σε Εκτελεστικό διάταγμα Μαΐου 2021 από τον Πρόεδρο Μπάιντεν, λέει. «Πιο πρόσφατα, είδαμε το Ασφαλής νόμος για το λογισμικό ανοιχτού κώδικα του 2022 λειτουργεί μέσω επιτροπών. Φαίνεται ξεκάθαρο ότι το Κογκρέσο αναζητά έναν τρόπο να προχωρήσει η βιομηχανία και η στρατηγική καθορίζει συγκεκριμένα νέα στοιχεία που πρέπει να ληφθούν υπόψη».

Καρότο και ραβδί

Ως μέρος της προσπάθειας καθοδήγησης καλύτερης συμπεριφοράς ασφάλειας, η ομοσπονδιακή κυβέρνηση θα χρησιμοποιήσει την τεράστια αγοραστική της δύναμη για να πείσει τους προμηθευτές λογισμικού και υπηρεσιών να τηρούν συμβατικά τις ελάχιστες απαιτήσεις ασφάλειας. Θα χρησιμοποιήσει επιχορηγήσεις και άλλους μηχανισμούς - όπως διαδικασίες καθορισμού ποσοστών και φορολογικές δομές - για να κάνει τους οργανισμούς να επενδύσουν περισσότερο στην ασφάλεια στον κυβερνοχώρο.

Η Karen Walsh, εμπειρογνώμονας συμμόρφωσης στον κυβερνοχώρο στην Allegro Solutions, λέει ότι εάν το σχέδιο λειτουργήσει όπως επιδιώκεται, θα μπορούσε να μετατοπίσει την εταιρική νοοτροπία από τη νοοτροπία «ασφάλεια σημαίνει κυρώσεις» σε μια νοοτροπία «ασφάλεια σημαίνει απόκτηση ανταμοιβών».

«Από πολλούς τρόπους, αυτό μοιάζει με το πώς η κυβέρνηση προσφέρει ήδη κίνητρα για πρωτοβουλίες καθαρής ενέργειας», λέει ο Walsh.

Αντεπιτίθεμαι

Ένας σημαντικός στόχος της νέας στρατηγικής είναι η ενίσχυση των δυνατοτήτων του ομοσπονδιακού και του ιδιωτικού τομέα για την παρεμπόδιση των επιχειρήσεων και των υποδομών των φορέων απειλής. Τα σχέδια περιλαμβάνουν την ανάπτυξη μιας συνολικής ικανότητας διακοπής της κυβέρνησης, πιο συντονισμένη κατάργηση εγκληματικών υποδομών και πόρων και δυσκολία για τους φορείς απειλών να χρησιμοποιούν την υποδομή των ΗΠΑ για επιχειρήσεις απειλών στον κυβερνοχώρο.

«Η εξάρθρωση των παραγόντων απειλών είναι απίθανο να πραγματοποιηθεί σε ευρεία κλίμακα», λέει η Allie Mellen, ανώτερη αναλυτής στη Forrester. «Είναι παρόμοιο με την ιδέα του «hack back» — υποθετικά υπέροχο, αλλά δύσκολο να το εκτελέσεις».

Ο Mellen θεωρεί την προτεινόμενη επέκταση των κανονισμών για τους παρόχους υποδομών ζωτικής σημασίας ως το πιο σημαντικό στοιχείο της νέας στρατηγικής.

«Όχι μόνο θέλει να δημιουργήσει ένα σύνολο ελάχιστων απαιτήσεων κυβερνοασφάλειας, αλλά αρχίζει επίσης να συνδέει παρόχους τεχνολογίας, όπως εταιρείες υποδομής ως υπηρεσία (IaaS) με αυτές τις απαιτήσεις, διευρύνοντας την εμβέλειά της», λέει.

Ο Corman του Claroty λέει ότι ορισμένες από τις προτάσεις στη νέα στρατηγική πιθανότατα θα πυροδοτήσουν κάποιες σκληρές συζητήσεις. Είναι όμως καιρός να τα έχουμε, σημειώνει.

«Τα πιο αμφιλεγόμενα θέματα, όπως η ευθύνη λογισμικού, θα είναι ομολογουμένως πιο δύσκολο να επιτευχθούν», σημειώνει ο Corman. Αλλά η προσπάθεια είναι κρίσιμη, λέει.

«Υπάρχει ένα σημαντικό χάσμα μεταξύ της τρέχουσας κατάστασης και της επιθυμητής κατάστασης για την ανθεκτικότητα στον κυβερνοχώρο κρίσιμων υποδομών – χρειαζόμαστε τολμηρή σκέψη και τολμηρή δράση για να μειώσουμε αυτό το χάσμα».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security