Biden-Harrise administratsioon teatas täna ulatuslikust uuest riiklikust küberturvalisuse strateegiast, mille eesmärk on muu hulgas kehtestada sisuline vastutus tarkvaratoodete ja -teenuste eest ning kehtestada kohustuslikud küberturvalisuse miinimumnõuded kriitilise infrastruktuuri sektoris.
Täieliku rakendamise korral tugevdab strateegia ka nii föderaal- kui ka erasektori üksuste võimet häirida ja hävitada ohus osalejate tegevust ning nõuab, et kõik üksikisikute andmeid töötlevad üksused pööraksid suuremat tähelepanu nende andmete kaitsmisele.
Üks strateegia põhieesmärke on, et föderaalregulaatorid otsiksid võimalusi, et ergutada kõiki sidusrühmi maksustruktuuride ja muude mehhanismide kaudu paremaid turvatavasid kasutusele võtma.
Küberjulgeoleku eest vastutuse taastamine
"[Strateegia] võtab vastu süsteemse väljakutse, et liiga suur vastutus küberturvalisuse eest on langenud üksikkasutajatele ja väikekasutajatele," kirjutas president Biden. sissejuhatus oma uuele plaanile. "Töötades koostööd tööstuse, kodanikuühiskonna ning osariigi, kohalike, hõimude ja territoriaalsete valitsustega, tasakaalustame vastutuse küberjulgeoleku eest, et see oleks tõhusam ja õiglasem."
Bideni strateegia eesmärk on luua koostööd ja hoogu viies konkreetses valdkonnas: kriitilise infrastruktuuri kaitse, ohus osalejate tegevuste ja infrastruktuuri häirimine, parema turvalisuse edendamine tarkvaramüüjate ja üksikandmeid töötlevate organisatsioonide vahel, investeeringud vastupidavamatesse tehnoloogiatesse ja rahvusvaheline koostöö küberturvalisuse vallas.
Nendest võiks kõige olulisem mõju olla kavandatud algatustel kriitilise infrastruktuuri turvalisuse ja vastutuse ülekandmise kohta tarkvaramüüjatele ja andmetöötlejatele.
Bideni strateegia kriitilise infrastruktuuri komponent sisaldab ettepanekut laiendada küberturvalisuse miinimumnõudeid kõikidele kriitilise infrastruktuuri operaatoritele. Määrused põhinevad olemasolevatel küberjulgeoleku standarditel ja juhistel, nagu riikliku standardite ja tehnoloogia instituudi (NIST) raamistik kriitilise infrastruktuuri küberturvalisuse parandamiseks ja küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) küberturvalisuse jõudluse eesmärgid.
Keskenduge disainipõhisele turvalisusele
Nõuded on jõudluspõhised, kohandatavad muutuvate nõuetega ja keskenduvad turvalise projekteerimise põhimõtete kasutuselevõtule.
"Kuigi vabatahtlik lähenemine kriitilise infrastruktuuri turvalisusele on toonud kaasa olulisi edusamme, on kohustuslike nõuete puudumine toonud kaasa ebapiisavad ja ebajärjekindlad tulemused," seisis strateegiadokumendis. Määrus võib samuti võrdseid võimalusi saavutada sektorites, kus operaatorid konkureerivad teistega turvalisuse alakulutamise pärast, sest parema turvalisuse rakendamiseks pole tegelikult stiimulit. Strateegia pakub kriitilise tähtsusega infrastruktuuri haldajatele, kellel ei pruugi olla rahalisi ja tehnilisi ressursse uute nõuete täitmiseks, ning potentsiaalselt uusi võimalusi nende ressursside kindlustamiseks.
CISA endine peastrateeg ja Claroty praegune küberohutuse asepresident Joshua Corman ütleb, et Bideni administratsiooni valik seada kriitilise infrastruktuuri turvalisus prioriteediks on oluline.
"Riik on näinud edukaid küberhäireid kriitilises infrastruktuuris, mis on märkimisväärselt mõjutanud paljusid päästefunktsioone, sealhulgas juurdepääsu veele, toidule, kütusele ja patsiendihooldusele, kui nimetada vaid mõnda," ütleb Corman. "Need on elutähtsad süsteemid, mis kannatavad üha sagedamini häirete all, ja paljud selle kriitilise infrastruktuuri omanikud ja operaatorid on need, mida ma nimetan "sihtrikkaks, kübervaesteks".
Ta märgib, et need on ohustajate jaoks sageli kõige atraktiivsemad sihtmärgid, kuid neil on kõige vähem ressursse enda kaitsmiseks.
Telose valitsusasjade juht Robert DuPree peab kongressi toetust Bideni kriitilise infrastruktuuri küberturvalisuse tugevdamise plaanide võtmeks.
"Sündmused kohustuslike küberjulgeolekunõuete kehtestamiseks täiendavatele kriitilise infrastruktuuri sektoritele vajavad mõnel juhul kongressi luba, mis praeguses poliitilises keskkonnas on parimal juhul kaugel," ütles ta avalduses. "Vabariiklaste esindajatekoja enamus on filosoofiliselt vastu uutele valitsuse mandaatidele ega anna tõenäoliselt Bideni administratsioonile selliseid volitusi."
Tarnijate vastutusele võtmine tarkvara turvalisuse eest
Tõenäoliselt vastuolulise sammuna paneb Bideni uus riiklik küberjulgeoleku strateegia rõhku ka tarkvaramüüjate otsesemale vastutusele oma tehnoloogiate turvalisuse eest. Kava nihutab vastutuse ebaturvalise tarkvara ja teenuste eest konkreetselt müüjatele ja eemale lõppkasutajatele, kes kannavad ebaturvalise tarkvara tagajärgi.
Osana jõupingutustest teeb Bideni administratsioon Kongressiga koostööd, et proovida vastu võtta õigusakte, mis takistaksid turujõuga tarkvaratootjatel ja väljaandjatel lihtsalt lepinguga vastutusest lahti öelda. Strateegia pakub organisatsioonidele ohutut sadamat, kus tarkvara arendamiseks ja hoolduseks on selgelt turvaline praktika.
"Liiga paljud müüjad eiravad parimaid tavasid turvaliseks arendamiseks, tarnivad tooteid ebaturvaliste vaikekonfiguratsioonide või teadaolevate haavatavustega" ja ebaturvaliste kolmanda osapoole komponentidega, öeldakse strateegiadokumendis.
Lisaks vastutuse üleandmisele tarkvaramüüjatele nõuab uus strateegia ka minimaalseid turvanõudeid kõikidele organisatsioonidele, kes käitlevad üksikandmeid, eriti geograafilise asukoha ja terviseandmeid.
Kongressi toetus jõupingutustele vastutuse nihutamiseks tarkvaramüüjatele on ilmnenud juba üle kümne aasta, ütles Brian Fox, Sonatype'i tehnikadirektor ja kaasasutaja. "Aastal 2013 HR5793 – kübertarneahela juhtimise ja läbipaistvuse seadus tuntud kui Royce Bill alustas vestlust tarkvara materjalide arvete (SBOM) kasutuselevõtu üle,” ütleb ta.
Lõppkokkuvõttes see ettepanek edasi ei liikunud, kuid nõue, et kõik föderaalvalitsuse tarkvaratarnijad peavad nõudmisel tootma SBOM-e, lisati Mai 2021 täitevmäärus president Bidenilt, ütleb ta. "Viimasel ajal oleme näinud 2022. aasta avatud lähtekoodiga tarkvara kaitsmise seadus läbi komiteede. Näib selge, et Kongress otsib viisi tööstuse edasiviimiseks ja strateegias on sätestatud konkreetsed uued elemendid, mida tuleb arvesse võtta.
Porgand ja pulk
Osana jõupingutustest parema turbekäitumise suunamiseks kasutab föderaalvalitsus oma tohutut ostuvõimu, et panna tarkvara- ja teenusepakkujad lepinguliselt kinni minimaalsetest turvanõuetest. See kasutab toetusi ja muid mehhanisme (nt intressimäärade kehtestamise protsesse ja maksustruktuure), et panna organisatsioonid küberturvalisusesse rohkem investeerima.
Allegro Solutionsi küberturvalisuse nõuetele vastavuse ekspert Karen Walsh ütleb, et kui plaan toimib nii, nagu ette nähtud, võib see muuta ettevõtte mõtteviisi "turvalisus tähendab karistusi" mentaliteedile "turvalisus tähendab hüvede saamist".
"See on paljuski sarnane sellega, kuidas valitsus juba pakub stiimuleid puhta energia algatuste jaoks, " ütleb Walsh.
Võitlus tagasi
Uue strateegia üks põhirõhk on föderaalse ja erasektori suutlikkuse tugevdamisel, et häirida ohus osalejate tegevust ja infrastruktuuri. Plaanid hõlmavad tervet valitsust hõlmava häirevõime väljatöötamist, kuritegeliku infrastruktuuri ja ressursside koordineeritumat eemaldamist ning USA infrastruktuuri küberohuoperatsioonideks kasutamise raskendamist ohus osalejate jaoks.
"Tõenäoliselt ei toimu ohustajate lammutamist laias ulatuses," ütleb Forresteri vanemanalüütik Allie Mellen. "See sarnaneb "tagasi häkkimise" ideega - hüpoteetiliselt suurepärane, kuid raske teostada."
Mellen peab kriitilise infrastruktuuri pakkujaid käsitlevate regulatsioonide kavandatavat laiendamist uue strateegia kõige olulisemaks komponendiks.
"See mitte ainult ei soovi kehtestada küberturvalisuse miinimumnõudeid, vaid hakkab nende nõuetega siduma ka tehnoloogia pakkujaid, nagu infrastruktuuri- kui teenuse (IaaS) ettevõtted, laiendades oma haaret," ütleb ta.
Claroty Corman ütleb, et mõned uue strateegia ettepanekud põhjustavad tõenäoliselt raskeid vestlusi. Kuid viimane aeg on need omada, märgib ta.
"Vastuolulisemaid teemasid, nagu tarkvaravastutus, on kindlasti raskem saavutada, " märgib Corman. Kuid pingutused on üliolulised, ütleb ta.
"Praeguse ja kriitilise infrastruktuuri kübervastupidavuse soovitud oleku vahel on märkimisväärne lõhe – vajame selle lõhe vähendamiseks julget mõtlemist ja julgeid tegevusi."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- võime
- juurdepääs
- Saavutada
- tegu
- tegevus
- osalejad
- lisamine
- Täiendavad lisad
- kinni pidama
- haldamine
- vastu võtma
- Vastuvõtmine
- agentuur
- Materjal: BPA ja flataatide vaba plastik
- juba
- vahel
- analüütik
- ja
- infrastruktuuri
- teatas
- lähenemisviisid
- valdkondades
- ümber
- tähelepanu
- ahvatlev
- asutus
- luba
- tagasi
- põhineb
- Pidage
- sest
- on
- BEST
- parimaid tavasid
- Parem
- vahel
- biden
- Bideni haldus
- arve
- Arved
- julge
- toetama
- Brian
- lai
- ehitama
- helistama
- Kutsub
- võimeid
- mis
- juhtudel
- kett
- väljakutse
- muutuv
- juht
- valik
- puhta energia
- selge
- lähemale
- Asutaja
- koostöö
- Ettevõtted
- konkurents
- Vastavus
- komponent
- komponendid
- Kongress
- Kongressi liige
- Tagajärjed
- kaaluda
- arvab
- leping
- vastuoluline
- Vestlus
- vestlused
- koostöö
- koordineeritud
- Korporatiivne
- võiks
- Criminal
- kriitiline
- Kriitiline infrastruktuur
- otsustav
- CTO
- Praegune
- Praegune olek
- cyber
- Küberturvalisus
- andmed
- kümme aastat
- vaikimisi
- Nõudlus
- soovitud
- arenev
- & Tarkvaraarendus
- raske
- otse
- Häirima
- Katkestus
- häired
- dokument
- sõidu
- Tõhus
- jõupingutusi
- jõupingutusi
- elemendid
- rõhk
- energia
- tohutu
- üksuste
- keskkond
- eriti
- looma
- täitma
- täidesaatev
- olemasolevate
- Laiendama
- laiendamine
- ekspert
- Langenud
- Föderaal-
- Föderaalvalitsus
- föderaalsed regulaatorid
- vähe
- väli
- finants-
- Keskenduma
- toit
- endine
- Forrester
- edasi
- Raamistik
- Alates
- Kütus
- täielikult
- funktsioonid
- lõhe
- saama
- Andma
- Eesmärgid
- läheb
- Valitsus
- Valitsused
- toetusi
- suur
- suunata
- näksima
- käepide
- Käsitsemine
- Raske
- Tervis
- Suur
- omamine
- maja
- Kuidas
- HTTPS
- idee
- mõju
- mõjutatud
- rakendada
- rakendatud
- oluline
- kehtestama
- parandusi
- Paranemist
- in
- Stiimul
- stiimuleid
- stimuleerida
- sisaldama
- hõlmab
- Kaasa arvatud
- Inkorporeeritud
- üha rohkem
- eraldi
- inimesed
- tööstus
- Infrastruktuur
- algatused
- Instituut
- rahvusvaheliselt
- sisse
- Sissejuhatus
- Investeeri
- Investeeringud
- IT
- Võti
- teatud
- puudus
- Keeled
- Seadusandlus
- Tase
- vastutus
- Tõenäoliselt
- LINK
- kohalik
- Vaata
- otsin
- hooldus
- peamine
- Enamus
- tegema
- Tegemine
- juhtimine
- juht
- mandaadid
- kohustuslik
- Tootjad
- palju
- Turg
- materjal
- tähendusrikas
- vahendid
- Vastama
- võib
- miinimum
- Impulss
- rohkem
- kõige
- liikuma
- nimi
- rahvas
- riiklik
- Vajadus
- Uus
- nst
- märkused
- number
- arvukad
- eesmärk
- Pakkumised
- ONE
- avatud
- avatud lähtekoodiga
- Operations
- ettevõtjad
- Võimalused
- vastupidine
- et
- organisatsioonid
- Muu
- teised
- omanikud
- osa
- Partnerlus
- patsient
- Maksma
- jõudlus
- Koht
- kava
- plaanid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängimine
- poliitiline
- vaene
- potentsiaalselt
- võim
- tavad
- president
- president laienema
- vältida
- põhimõtted
- prioriteet
- era-
- erasektor
- Protsessid
- töötlejad
- tootma
- Toodetud
- Toodet
- Edendamine
- ettepanek
- Ettepanekud
- pakutud
- kaitsma
- kaitse
- pakkujad
- annab
- kirjastajad
- ostmine
- Lükkama
- Paneb
- jõudma
- tasakaalustamist
- hiljuti
- Määrus
- määrused
- Regulaatorid
- Vabariiklik
- nõudma
- nõue
- Nõuded
- vetruv
- Vahendid
- vastutus
- vastutav
- Hüved
- Rikas
- ohutu
- ohutus
- Ütlesin
- ütleb
- Skaala
- sektor
- Sektorid
- kindlustama
- kindlustada
- turvalisus
- Otsib
- tundub
- vanem
- teenus
- Teenused
- komplekt
- Komplektid
- suunata
- NIHKEMINE
- Vahetused
- LAEV
- märkimisväärne
- märgatavalt
- sarnane
- lihtsalt
- väike
- Ühiskond
- tarkvara
- tarkvaraarenduse
- Lahendused
- mõned
- allikas
- konkreetse
- eriti
- huvirühmad
- standardite
- alustatud
- algab
- riik
- väljavõte
- Strateeg
- Strateegia
- Tugevdama
- tugevdamine
- edukas
- selline
- kannatab
- Tarnijate
- varustama
- tarneahelas
- tarneahela juhtimine
- toetama
- süsteemne
- süsteemid
- Võtma
- võtab
- sihtmärk
- eesmärgid
- maks
- Tehniline
- Tehnoloogiad
- Tehnoloogia
- tehnoloogia oma
- .
- oma
- ennast
- asjad
- Mõtlemine
- kolmanda osapoole
- oht
- ohus osalejad
- Läbi
- tihedam
- aeg
- et
- täna
- liiga
- Teemasid
- läbipaistvus
- vallandada
- us
- kasutama
- Kasutajad
- Ve
- müüjad
- kaudu
- Asepresident
- vaated
- tähtis
- Haavatavused
- Vesi
- kuidas
- M
- Mis on
- mis
- kuigi
- WHO
- will
- Töö
- töö
- töötab
- oleks
- sephyrnet
