Biden-Harrisin hallinto julkisti tänään laajan uuden kansallisen kyberturvallisuusstrategian, joka muun muassa pyrkii luomaan mielekkään vastuun ohjelmistotuotteille ja -palveluille ja asettaa pakolliset kyberturvallisuuden vähimmäisvaatimukset kriittisen infrastruktuurin sektorille.
Täysin toteutettuna strategia vahvistaa myös sekä liittovaltion että yksityisen sektorin toimijoiden kykyä häiritä ja purkaa uhkatoimijoiden toimintaa ja edellyttää, että kaikki henkilötietoja käsittelevät tahot kiinnittävät entistä enemmän huomiota siihen, miten ne suojaavat näitä tietoja.
Yksi strategian keskeisistä tavoitteista on, että liittovaltion sääntelyviranomaiset etsivät mahdollisuuksia kannustaa kaikkia sidosryhmiä omaksumaan parempia turvallisuuskäytäntöjä verorakenteiden ja muiden mekanismien avulla.
Tasapainotetaan kyberturvallisuusvastuu
"[Strategia] ottaa vastaan systeemisen haasteen, että liian suuri vastuu kyberturvallisuudesta on laskenut yksittäisille käyttäjille ja pienille käyttäjille", presidentti Biden kirjoitti. esittely hänen uuteen suunnitelmaansa. "Työskentelemällä yhteistyössä teollisuuden, kansalaisyhteiskunnan sekä osavaltio-, paikallis-, heimo- ja aluehallitusten kanssa tasapainotamme vastuuta kyberturvallisuudesta tehokkaammaksi ja oikeudenmukaisemmaksi."
Bidenin strategia pyrkii rakentamaan yhteistyötä ja vauhtia viidelle erityisalueelle: kriittisen infrastruktuurin suojaus, uhkatekijöiden toiminnan ja infrastruktuurin häiriintyminen, parempaa tietoturvaa edistäminen ohjelmistotoimittajien ja yksittäisiä tietoja käsittelevien organisaatioiden keskuudessa, investoinnit kestävämpiin teknologioihin ja kansainvälinen kyberturvallisuusyhteistyö.
Näistä ehdotetuilla aloitteilla, jotka koskevat kriittisen infrastruktuurin turvallisuutta ja vastuun siirtämistä ohjelmistotoimittajille ja tietojenkäsittelijöille, voisi olla merkittävin vaikutus.
Bidenin strategian kriittisen infrastruktuurin osa sisältää ehdotuksen kyberturvallisuuden vähimmäisvaatimusten laajentamisesta kaikille kriittisen infrastruktuurin operaattoreille. Säännöt perustuvat olemassa oleviin kyberturvallisuusstandardeihin ja -ohjeisiin, kuten National Institute of Standards and Technology (NIST) -kehykseen kriittisen infrastruktuurin kyberturvallisuuden parantamiseksi ja Cybersecurity and Infrastructure Security Agencyn (CISA) kyberturvallisuuden suorituskykytavoitteisiin.
Painopiste Secure by Design
Vaatimukset ovat suorituskykyyn perustuvia, muuttuviin vaatimuksiin mukautuvia ja niissä keskitytään turvallisen suunnittelun periaatteiden omaksumiseen.
"Vaikka vapaaehtoiset lähestymistavat kriittisen infrastruktuurin turvallisuuteen ovat tuottaneet merkittäviä parannuksia, pakollisten vaatimusten puute on johtanut riittämättömiin ja epäjohdonmukaisiin tuloksiin", strategia-asiakirjassa sanotaan. Sääntely voi myös tasata kilpailua aloilla, joilla operaattorit kilpailevat muiden kanssa turvallisuuden vajaakäytöstä, koska paremman turvallisuuden toteuttamiseen ei todellakaan ole kannustinta. Strategia tarjoaa kriittisen infrastruktuurin operaattoreille, joilla ei ehkä ole taloudellisia ja teknisiä resursseja vastata uusiin vaatimuksiin, ja mahdollisesti uusia keinoja näiden resurssien turvaamiseen.
Joshua Corman, CISA:n entinen päästrategi ja nykyinen kyberturvallisuuden varapresidentti Clarotylla, sanoo Bidenin hallinnon valinnan asettaa kriittisen infrastruktuurin turvallisuus prioriteetiksi.
"Maa on nähnyt onnistuneita kyberhäiriöitä kriittisessä infrastruktuurissa, mikä on vaikuttanut merkittävästi useisiin elinehtotoimintoihin, mukaan lukien veden, ruoan, polttoaineen ja potilaiden hoitoon pääsy, vain muutamia mainitakseni", Corman sanoo. "Nämä ovat elintärkeitä järjestelmiä, jotka kärsivät yhä enemmän häiriöitä, ja monet tämän kriittisen infrastruktuurin omistajista ja ylläpitäjistä ovat niin sanottuja "kohderikkaita, kyberköyhiä"."
Nämä ovat usein houkuttelevimpia kohteita uhkatoimijoille, mutta niillä on vähiten resursseja suojella itseään, hän huomauttaa.
Robert DuPree, Telosin hallintoasioiden johtaja, pitää kongressin tukea avainasemassa Bidenin suunnitelmissa vahvistaa kriittisen infrastruktuurin kyberturvallisuutta.
"Pakollisten kyberturvallisuusvaatimusten asettaminen muille kriittisen infrastruktuurin sektoreille vaatii joissakin tapauksissa kongressin luvan, mikä nykyisessä poliittisessa ympäristössä on parhaimmillaan kaukaa", hän sanoi lausunnossaan. "Republikaanien edustajainhuoneen enemmistö vastustaa filosofisesti uusia hallituksen mandaatteja, eikä se todennäköisesti anna Bidenin hallinnolle tällaista valtaa."
Toimittajien saattaminen vastuuseen ohjelmistoturvallisuudesta
Todennäköisesti kiistanalainen siirto Bidenin uudessa kansallisessa kyberturvallisuusstrategiassa painottaa myös ohjelmistovalmistajien ottamista suoraan vastuuseen teknologioidensa turvallisuudesta. Suunnitelmassa siirretään vastuu turvattomista ohjelmistoista ja palveluista erityisesti toimittajille ja pois loppukäyttäjiltä, jotka kantavat epävarman ohjelmiston seuraukset.
Osana ponnisteluja Bidenin hallinto työskentelee kongressin kanssa yrittääkseen hyväksyä lainsäädäntöä, joka estäisi ohjelmistovalmistajia ja julkaisijoita, joilla on markkinavoimaa, yksinkertaisesti irtisanoutumasta vastuustaan sopimuksella. Strategia tarjoaa turvallisen sataman organisaatioille, joilla on todistetusti turvalliset käytännöt ohjelmistojen kehittämiseen ja ylläpitoon.
"Liian monet toimittajat jättävät huomiotta turvallisen kehityksen parhaat käytännöt, toimittavat tuotteita turvattomilla oletuskokoonpanoilla tai tunnetuilla haavoittuvuuksilla" ja turvattomilla kolmannen osapuolen komponenteilla, strategia-asiakirjassa sanotaan.
Sen lisäksi, että vastuu siirretään ohjelmistotoimittajille, uusi strategia edellyttää myös vähimmäisturvavaatimuksia kaikille organisaatioille, jotka käsittelevät yksittäisiä tietoja, erityisesti paikkatieto- ja terveystietoja.
Kongressin tuki pyrkimyksille siirtää vastuuta ohjelmistotoimittajille on ilmennyt kohtauksina yli vuosikymmenen ajan, sanoo Brian Fox, Sonatypen teknologiajohtaja ja toinen perustaja. "Vuonna 2013, HR5793 – Cyber Supply Chain Management and Transparency Act Royce Bill aloitti keskustelun ohjelmistojen materiaalilaskujen (SBOM) käyttöönotosta”, hän sanoo.
Lopulta tämä ehdotus ei edennyt, mutta vaatimus, jonka mukaan kaikkien liittovaltion ohjelmistotoimittajien on tuotettava SBOM-tiedostoja pyynnöstä, sisällytettiin Toukokuun 2021 toimeenpanomääräys presidentti Bideniltä, hän sanoo. "Viime aikoina olemme nähneet Avoimen lähdekoodin ohjelmistolaki 2022 työstää tiensä komiteoiden läpi. Näyttää selvältä, että kongressi etsii tapaa viedä alaa eteenpäin, ja strategiassa esitetään erityisiä uusia huomioitavia elementtejä.
Porkkana ja keppi
Osana pyrkimyksiä parantaa turvallisuuskäyttäytymistä liittovaltion hallitus käyttää valtavaa ostovoimaansa saadakseen ohjelmisto- ja palvelutoimittajat noudattamaan sopimuksella vähimmäisturvavaatimuksia. Se käyttää apurahoja ja muita mekanismeja – kuten korkoprosesseja ja verorakenteita – saadakseen organisaatiot investoimaan enemmän kyberturvallisuuteen.
Karen Walsh, Allegro Solutionsin kyberturvallisuuden vaatimustenmukaisuuden asiantuntija, sanoo, että jos suunnitelma toimii suunnitellusti, se voi muuttaa yritysten ajattelutapaa "turvallisuus tarkoittaa rangaistuksia" "turvallisuus tarkoittaa palkkioiden saamista" -mentaliteettiin.
"Tämä on monella tapaa samanlaista kuin hallitus tarjoaa jo nyt kannustimia puhtaan energian aloitteille", Walsh sanoo.
Taistelu taaksepäin
Yksi uuden strategian painopisteistä on liittovaltion ja yksityisen sektorin valmiuksien vahvistaminen uhkatoimijoiden toiminnan ja infrastruktuurin häiritsemiseksi. Suunnitelmiin kuuluu koko hallitukselle suunnatun häiriökyvyn kehittäminen, rikollisen infrastruktuurin ja resurssien koordinoidumpi purkaminen sekä uhkatoimijoiden vaikeuttaa Yhdysvaltain infrastruktuurin käyttöä kyberuhkaoperaatioissa.
"Uhan toimijoiden purkaminen ei todennäköisesti tapahdu laajasti", sanoo Allie Mellen, Forresterin vanhempi analyytikko. "Se on samanlainen kuin ajatus "hack back" - hypoteettisesti hieno, mutta vaikea toteuttaa."
Mellen pitää ehdotettua kriittisen infrastruktuurin tarjoajien sääntelyn laajentamista uuden strategian ylivoimaisesti merkittävimpänä osana.
"Se ei ainoastaan pyri luomaan kyberturvallisuuden vähimmäisvaatimuksia, vaan se myös alkaa linkittää teknologian tarjoajia, kuten infrastruktuuri-as-a-service (IaaS) -yritykset, näihin vaatimuksiin ja laajentaa kattavuuttaan", hän sanoo.
Claroty's Corman sanoo, että jotkin uuden strategian ehdotukset aiheuttavat todennäköisesti kovia keskusteluja. Mutta on korkea aika hankkia ne, hän huomauttaa.
"Kiistanalaisemmat aiheet, kuten ohjelmistovastuu, tulevat olemaan vaikeampi saavuttaa", Corman huomauttaa. Mutta pyrkimys on ratkaisevan tärkeää, hän sanoo.
"Tämän tilan ja kriittisen infrastruktuurin kyberresilienssin toivotun tilan välillä on merkittävä kuilu - tarvitsemme rohkeaa ajattelua ja rohkeita toimia tämän kuilun kaventamiseksi."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- kyky
- pääsy
- Saavuttaa
- Toimia
- Toiminta
- toimijoiden
- Lisäksi
- lisä-
- noudattaa
- hallinto
- hyväksyä
- Hyväksyminen
- toimisto
- Kaikki
- jo
- keskuudessa
- analyytikko
- ja
- ja infrastruktuuri
- ilmoitti
- lähestymistavat
- alueet
- noin
- huomio
- houkutteleva
- viranomaisen
- lupa
- takaisin
- perustua
- Bear
- koska
- ovat
- PARAS
- parhaat käytännöt
- Paremmin
- välillä
- Biden
- Bidenin hallinto
- lasku
- Setelit
- tappi
- vahvistaa
- Brian
- laaja
- rakentaa
- soittaa
- Puhelut
- kyvyt
- joka
- tapauksissa
- ketju
- haaste
- muuttuviin
- päällikkö
- valinta
- puhdas energia
- selkeä
- lähempänä
- Perustaja
- yhteistyö
- Yritykset
- kilpailu
- noudattaminen
- komponentti
- osat
- Kongressi
- Kongressin
- Seuraukset
- harkittu
- pitää
- sopimus
- kiistanalainen
- Keskustelu
- keskustelut
- yhteistyö
- koordinoi
- Yrityksen
- voisi
- Rikollinen
- kriittinen
- Kriittinen infrastruktuuri
- ratkaiseva
- CTO
- Nykyinen
- Nykyinen tila
- cyber
- tietoverkkojen
- tiedot
- vuosikymmen
- oletusarvo
- Kysyntä
- haluttu
- kehittämällä
- Kehitys
- vaikea
- suoraan
- Häiritä
- Häiriö
- häiriöistä
- asiakirja
- ajo
- Tehokas
- vaivaa
- ponnisteluja
- elementtejä
- painotus
- energia
- valtava
- yksiköt
- ympäristö
- erityisesti
- perustaa
- suorittaa
- johtaja
- olemassa
- Laajentaa
- laajeneminen
- asiantuntija
- Fallen
- Liitto-
- Liittovaltion hallitus
- liittovaltion sääntelyviranomaiset
- harvat
- ala
- taloudellinen
- Keskittää
- ruoka
- Entinen
- Forrester
- Eteenpäin
- Puitteet
- alkaen
- polttoaine
- täysin
- tehtävät
- kuilu
- saada
- Antaa
- Tavoitteet
- menee
- Hallitus
- hallitukset
- avustukset
- suuri
- ohjaavat
- hakata
- kahva
- Käsittely
- Kova
- terveys
- Korkea
- pito
- Talo
- Miten
- HTTPS
- ajatus
- Vaikutus
- vaikutti
- toteuttaa
- täytäntöön
- tärkeä
- määrätä
- parannuksia
- parantaminen
- in
- kannustin
- kannustimet
- kannustaa
- sisältää
- sisältää
- Mukaan lukien
- yhdistetty
- yhä useammin
- henkilökohtainen
- henkilöt
- teollisuus
- Infrastruktuuri
- aloitteita
- Instituutti
- kansainvälisesti
- käyttöön
- esittely
- Investoida
- Investoinnit
- IT
- avain
- tunnettu
- Lack
- Lays
- lainsäädäntö
- Taso
- vastuu
- Todennäköisesti
- LINK
- paikallinen
- katso
- näköinen
- huolto
- merkittävä
- Enemmistö
- tehdä
- Tekeminen
- johto
- johtaja
- toimeksiantoja
- pakollinen
- Valmistajat
- monet
- markkinat
- materiaali
- mielekäs
- välineet
- Tavata
- ehkä
- minimi
- Vauhti
- lisää
- eniten
- liikkua
- nimi
- kansakunta
- kansallinen
- Tarve
- Uusi
- NIST
- Huomautuksia
- numero
- useat
- tavoite
- Tarjoukset
- ONE
- avata
- avoimen lähdekoodin
- Operations
- operaattorit
- Mahdollisuudet
- vastakkainen
- tilata
- organisaatioiden
- Muut
- Muuta
- omistajat
- osa
- Kumppanuus
- potilas
- Maksaa
- suorituskyky
- Paikka
- suunnitelma
- suunnitelmat
- Platon
- Platonin tietotieto
- PlatonData
- pelaa
- poliittinen
- kehno
- mahdollisesti
- teho
- käytännöt
- puheenjohtaja
- presidentti Biden
- estää
- periaatteet
- prioriteetti
- yksityinen
- yksityissektorin
- Prosessit
- prosessorit
- tuottaa
- valmistettu
- Tuotteemme
- Edistäminen
- ehdotus
- ehdotukset
- ehdotettu
- suojella
- suojaus
- tarjoajat
- tarjoaa
- julkaisijat
- osto-
- Työnnä
- puts
- tavoittaa
- tasapainottaa
- äskettäin
- Asetus
- määräykset
- Säätimet
- Tasavaltainen
- edellyttää
- vaatimus
- vaatimukset
- kimmoisa
- Esittelymateriaalit
- vastuu
- vastuullinen
- Palkkiot
- Rikas
- turvallista
- Turvallisuus
- Said
- sanoo
- Asteikko
- sektori
- sektorit
- turvallinen
- turvaaminen
- turvallisuus
- etsii
- näyttää
- vanhempi
- palvelu
- Palvelut
- setti
- Setit
- siirtää
- VAIHTO
- Vuorot
- LAIVA
- merkittävä
- merkittävästi
- samankaltainen
- yksinkertaisesti
- pieni
- yhteiskunta
- Tuotteemme
- ohjelmistokehitys
- Ratkaisumme
- jonkin verran
- lähde
- erityinen
- erityisesti
- sidosryhmien
- standardit
- alkoi
- alkaa
- Osavaltio
- Lausunto
- Strategi
- Strategia
- Vahvistaa
- vahvistaminen
- onnistunut
- niin
- kärsimystä
- toimittajat
- toimittaa
- toimitusketju
- toimitusketjun hallinta
- tuki
- systeeminen
- järjestelmät
- ottaa
- vie
- Kohde
- tavoitteet
- vero
- Tekninen
- Technologies
- Elektroniikka
- tekniikan
- -
- heidän
- itse
- asiat
- Ajattelu
- kolmannen osapuolen
- uhkaus
- uhka toimijat
- Kautta
- tiukempi
- aika
- että
- tänään
- liian
- Aiheet
- Läpinäkyvyys
- laukaista
- us
- käyttää
- Käyttäjät
- Ve
- myyjät
- kautta
- Varapresidentti
- näkymät
- elintärkeä
- haavoittuvuuksia
- vesi
- tavalla
- Mitä
- Mikä on
- joka
- vaikka
- KUKA
- tulee
- Referenssit
- työskentely
- toimii
- olisi
- zephyrnet
