Valkoinen talo antaa kyberturvallisuusohjeita ohjelmistotoimittajille

Julkaistu: Syyskuu 16, 2022

Valkoinen talo julkaisi keskiviikkona ohjelmistotoimittajille kyberturvallisuusohjeet, jotka jatkoivat presidentti Joe Bidenin vuonna 2021 allekirjoittamaa toimeenpanomääräystä.

Biden allekirjoitti toukokuussa 2021 "Improving the Nation's Cybersecurity" -sopimuksen, joka hahmotteli suunnitelmat Yhdysvaltojen kyberturvallisuuslähestymistavan modernisoimiseksi ja tekniikoiden, kuten monitekijätodennuksen, käyttöönottamiseksi. Yksi osa toimeenpaneva määräys viitattiin suunnitelmiin antaa ohjeita valtion verkoissa ostetuille ja käyttöönotetuille ohjelmistoille, jotka sisältyivät keskiviikon muistio.

Valkoisessa talossa selvitys myös keskiviikkona julkaistiin, liittovaltion CISO ja apulaiskansallinen kyberjohtaja Chris DeRusha sanoivat, että vaikka ohjelmiston ainoa laatukriteeri aiemmin oli, toimiiko se mainostetulla tavalla, teknologiaa on nykyään kehitettävä tavalla, joka tekee siitä kestävän ja turvallisen. .

"Julkisen ja yksityisen sektorin sekä tiedemaailman panoksella kehitetty ohje ohjaa virastoja käyttämään vain ohjelmistoja, jotka ovat turvallisten ohjelmistokehitysstandardien mukaisia, luo ohjelmistontuottajille ja -toimistoille itsetodistuslomakkeen ja mahdollistaa liittohallituksen tunnistaa nopeasti tietoturva-aukot, kun uusia haavoittuvuuksia löydetään", hän sanoi.

Bidenin kyberturvallisuusohjeet vaativat myös liittovaltion viranomaisia ​​hankkimaan ohjelmistotoimittajalta itsetodistuslomakkeen, jossa vahvistetaan, että tuote on viraston antamien turvallisuusohjeiden mukainen. Kansallinen standardi- ja teknologiainstituutti (NIST) ennen uuden ohjelmiston käyttöä.

Toimistosta riippuen ohjelmistotoimittajan on ehkä myös todistettava vaatimustenmukaisuus artefakteilla, mukaan lukien ohjelmistojen materiaaliluettelo (SBOM). Lisäksi toimittajaa voidaan vaatia todistamaan, että se osallistuu haavoittuvuuden paljastamisohjelmaan.

Vaikka toimeenpanomääräys ja ohjeet eivät laillisesti vaadi yksityisiä myyjiä julkaisemaan turvallisia ja yhteensopivia ohjelmistoja, DeRusha sanoi, että tämä toimenpide oli välttämätön SolarWinds-toimitusketjuhyökkäyksen jälkeen vuonna 2020. Tämä kyberhyökkäys johti siihen, että useat valtion virastot joutuivat tietomurtojen uhriksi.

"Tämä tapaus oli yksi sarjasta kybertunkeutumisia ja merkittäviä ohjelmistohaavoittuvuuksia viimeisen kahden vuoden aikana, jotka ovat uhanneet julkishallinnon palvelujen toimittamista yleisölle sekä valtavien henkilötietojen ja yritystietojen eheyttä, jota hallinnoi yksityinen sektori", DeRusha lisäsi lausunnossaan.