Ο Λευκός Οίκος εκδίδει Οδηγίες κυβερνοασφάλειας για προμηθευτές λογισμικού

Δημοσιεύθηκε στις: Σεπτέμβριος 16, 2022

Ο Λευκός Οίκος δημοσίευσε την Τετάρτη οδηγίες για την ασφάλεια στον κυβερνοχώρο για τους προμηθευτές λογισμικού που χρησίμευσαν ως επέκταση του εκτελεστικού διατάγματος που υπέγραψε ο πρόεδρος Τζο Μπάιντεν το 2021.

Ο Μπάιντεν υπέγραψε τη «Βελτίωση της κυβερνοασφάλειας του Έθνους» τον Μάιο του 2021, η οποία περιέγραφε σχέδια για τον εκσυγχρονισμό της προσέγγισης της κυβερνοασφάλειας των Ηνωμένων Πολιτειών και την εφαρμογή τεχνικών όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων. Ένα μέρος του εκτελεστικό διάταγμα αναφέρθηκε σε σχέδια για την παροχή κατευθυντήριων γραμμών για το λογισμικό που αγοράστηκε και εγκαταστάθηκε στα κυβερνητικά δίκτυα, τα οποία περιέχονταν στην Τετάρτη υπόμνημα.

Σε Λευκό Οίκο δήλωση Αναρτήθηκε επίσης την Τετάρτη, ο ομοσπονδιακός CISO και ο αναπληρωτής εθνικός διευθυντής Cyber ​​Chris DeRusha είπε ότι ενώ το μόνο κριτήριο ποιότητας για ένα κομμάτι λογισμικού ήταν το αν λειτουργούσε όπως διαφημιζόταν, η τεχνολογία σήμερα πρέπει να αναπτυχθεί με τρόπο που να το κάνει ανθεκτικό και ασφαλές .

«Η καθοδήγηση, που αναπτύχθηκε με τη συμβολή του δημόσιου και ιδιωτικού τομέα καθώς και του ακαδημαϊκού κόσμου, καθοδηγεί τους οργανισμούς να χρησιμοποιούν μόνο λογισμικό που συμμορφώνεται με ασφαλή πρότυπα ανάπτυξης λογισμικού, δημιουργεί ένα έντυπο αυτοβεβαίωσης για παραγωγούς λογισμικού και φορείς και θα επιτρέψει στην ομοσπονδιακή κυβέρνηση για να εντοπίσουμε γρήγορα τα κενά ασφαλείας όταν ανακαλύπτονται νέα τρωτά σημεία», είπε.

Η καθοδήγηση του Μπάιντεν για την ασφάλεια στον κυβερνοχώρο απαιτούσε επίσης από τις ομοσπονδιακές κυβερνητικές υπηρεσίες να αποκτήσουν ένα έντυπο αυτοβεβαίωσης από έναν προμηθευτή λογισμικού που να επιβεβαιώνει ότι το προϊόν συμμορφώνεται με τις οδηγίες ασφαλείας από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) πριν χρησιμοποιήσετε οποιοδήποτε νέο λογισμικό.

Ανάλογα με την εταιρεία, ο προμηθευτής λογισμικού μπορεί επίσης να χρειαστεί να αποδείξει τη συμμόρφωση μέσω τεχνουργημάτων, συμπεριλαμβανομένου ενός λογαριασμού υλικού λογισμικού (SBOM). Επιπλέον, ενδέχεται να ζητηθεί από τον πωλητή να παράσχει αποδεικτικά στοιχεία ότι συμμετέχει σε ένα πρόγραμμα αποκάλυψης ευπάθειας.

Αν και το εκτελεστικό διάταγμα και οι οδηγίες δεν απαιτούν νομικά από τους ιδιώτες πωλητές να κυκλοφορούν ασφαλές και συμβατό λογισμικό, η DeRusha είπε ότι αυτή η ενέργεια ήταν απαραίτητη μετά την επίθεση στην αλυσίδα εφοδιασμού της SolarWinds το 2020. Αυτή η κυβερνοεπίθεση οδήγησε πολλές κυβερνητικές υπηρεσίες να πέσουν θύματα παραβιάσεων δεδομένων.

«Αυτό το περιστατικό ήταν ένα από μια σειρά από εισβολές στον κυβερνοχώρο και σημαντικές ευπάθειες λογισμικού τα τελευταία δύο χρόνια που απείλησαν την παροχή κυβερνητικών υπηρεσιών στο κοινό, καθώς και την ακεραιότητα τεράστιων ποσοτήτων προσωπικών πληροφοριών και επιχειρηματικών δεδομένων που διαχειρίζονται τον ιδιωτικό τομέα», πρόσθεσε ο DeRusha στη δήλωσή του.