A Biden-Harris adminisztráció ma bejelentette egy átfogó új Nemzeti Kiberbiztonsági Stratégiát, amely többek között a szoftvertermékek és -szolgáltatások érdemi felelősségének megállapítására törekszik, és kötelező minimális kiberbiztonsági követelményeket határoz meg a kritikus infrastruktúra szektorban.
A stratégia teljes megvalósítása esetén a szövetségi és a magánszektorbeli entitások azon képességét is megerősíti, hogy megzavarják és felszámolják a fenyegetést jelentő szereplők tevékenységét, és megköveteli az egyénekre vonatkozó adatokat kezelő összes entitástól, hogy fordítson nagyobb figyelmet az adatok védelmére.
A stratégia egyik kulcsfontosságú célja, hogy a szövetségi szabályozó hatóságok keressenek olyan lehetőségeket, amelyek az összes érdekelt felet jobb biztonsági gyakorlatok elfogadására ösztönözhetik adóstruktúrákon és egyéb mechanizmusokon keresztül.
A kiberbiztonsági felelősség újraegyensúlyozása
„[A stratégia] vállalja azt a rendszerszintű kihívást, hogy a kiberbiztonságért túl sok felelősség hárult az egyéni felhasználókra és a kis felhasználókra” – írta Biden elnök. új tervének bevezetése. "Az iparral, a civil társadalommal, valamint az állami, helyi, törzsi és területi kormányzatokkal együttműködve újra egyensúlyba hozzuk a kiberbiztonsággal kapcsolatos felelősséget, hogy hatékonyabb és igazságosabb legyen."
Biden stratégiája öt konkrét terület köré kívánja felépíteni az együttműködést és lendületet: a kritikus infrastruktúra védelme, a fenyegetett szereplők működésének és infrastruktúrájának megzavarása, a jobb biztonság elősegítése a szoftvergyártók és az egyéni adatokat kezelő szervezetek között, a rugalmasabb technológiákba való befektetések és a kiberbiztonsággal kapcsolatos nemzetközi együttműködés.
Ezek közül a kritikus infrastruktúrák biztonságával és a felelősségnek a szoftvergyártókra és adatfeldolgozókra való áthárításával kapcsolatos javasolt kezdeményezéseknek lehet a legjelentősebb hatása.
Biden stratégiájának kritikus infrastruktúra eleme tartalmaz egy javaslatot a minimális kiberbiztonsági követelmények kiterjesztésére a kritikus infrastruktúra valamennyi üzemeltetője számára. A szabályozás a meglévő kiberbiztonsági szabványokon és útmutatásokon fog alapulni, mint például a Nemzeti Szabványügyi és Technológiai Intézet (NIST) keretrendszere a kritikus infrastruktúrák kiberbiztonságának javítására és a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) kiberbiztonsági teljesítménycéljain.
Fókuszban a tervezési biztonság
A követelmények teljesítményen alapulnak, alkalmazkodnak a változó követelményekhez, és a biztonságos tervezési elvek elfogadására összpontosítanak.
„Míg a kritikus infrastruktúra biztonságának önkéntes megközelítései jelentős javulást hoztak, a kötelező követelmények hiánya nem megfelelő és következetlen eredményeket eredményezett” – áll a stratégiai dokumentumban. A szabályozás egyenlítheti a versenyfeltételeket azokban az ágazatokban is, ahol az üzemeltetők versenyben állnak másokkal a biztonságra való alulköltésért, mivel valójában nincs ösztönzés a jobb biztonság megvalósítására. A stratégia a kritikus infrastruktúra-üzemeltetők számára, amelyek esetleg nem rendelkeznek az új követelmények teljesítéséhez szükséges pénzügyi és műszaki erőforrásokkal, potenciálisan új lehetőségeket kínál ezen erőforrások biztosítására.
Joshua Corman, a CISA korábbi főstratégája és a Claroty kiberbiztonságért felelős jelenlegi alelnöke szerint a Biden-adminisztráció fontos döntése, hogy a kritikus infrastruktúra biztonságát prioritásként kezelje.
„Az ország sikeres kiberzavarokat tapasztalt a kritikus infrastruktúrában, amelyek jelentős hatással voltak számos életfontosságú funkcióra, beleértve a vízhez, élelemhez, üzemanyaghoz és betegellátáshoz való hozzáférést, hogy csak néhányat említsünk” – mondja Corman. „Ezek létfontosságú rendszerek, amelyek egyre inkább zavarokat szenvednek el, és ennek a kritikus infrastruktúrának a tulajdonosai és üzemeltetői közül sokan az úgynevezett „célgazdagok, kiberszegények”.
Ezek gyakran a legvonzóbb célpontok a fenyegetés szereplői számára, de rendelkeznek a legkevesebb erőforrással, hogy megvédjék magukat, jegyzi meg.
Robert DuPree, a Telos kormányzati ügyekért felelős menedzsere a kongresszusi támogatást tekinti kulcsfontosságúnak Biden azon tervében, hogy erősítse a kritikus infrastruktúra kiberbiztonságát.
"A további kritikus infrastruktúra-ágazatok kötelező kiberbiztonsági követelményeinek előírása érdekében bizonyos esetekben kongresszusi engedélyre lesz szükség, ami a jelenlegi politikai környezetben a legjobb esetben is messze van" - mondta közleményében. "A republikánus képviselőház többsége filozófiailag ellenzi az új kormányzati mandátumokat, és nem valószínű, hogy a Biden-adminisztrációnak adna ilyen felhatalmazást."
A szállítók felelősségre vonása a szoftverbiztonságért
A valószínűleg ellentmondásos lépésként Biden új nemzeti kiberbiztonsági stratégiája arra is hangsúlyt fektet, hogy a szoftvergyártókat közvetlenebbül tegye felelőssé technológiáik biztonságáért. A terv kifejezetten áthárítja a nem biztonságos szoftverek és szolgáltatások felelősségét a gyártókra, és elhárítja azokat a végfelhasználókat, akik viselik a nem biztonságos szoftver következményeit.
Az erőfeszítés részeként Biden adminisztrációja a Kongresszussal együttműködve megpróbál olyan jogszabályokat elfogadni, amelyek megakadályozzák, hogy a szoftvergyártók és a piaci erővel rendelkező kiadók egyszerűen szerződéssel elhárítsák a felelősséget. A stratégia biztonságos kikötőt biztosít a bizonyíthatóan biztonságos szoftverfejlesztési és -karbantartási gyakorlattal rendelkező szervezetek számára.
„Túl sok szállító figyelmen kívül hagyja a biztonságos fejlesztés bevált gyakorlatait, nem biztonságos alapértelmezett konfigurációkkal vagy ismert sebezhetőségekkel szállít termékeket” – áll a stratégiai dokumentumban.
Amellett, hogy a felelősséget a szoftvergyártókra hárítja, az új stratégia minimális biztonsági követelményeket is ír elő az egyéni adatokat, különösen a földrajzi helyzetet és az egészségügyi adatokat kezelő összes szervezet számára.
Brian Fox, a Sonatype technológiai igazgatója és társalapítója szerint a Kongresszus támogatja a felelősséget a szoftvergyártókra hárító erőfeszítéseket. "2013-ban, HR5793 – Cyber Supply Chain Management and Transparency Act Royce Bill néven ismertté vált a beszélgetés a szoftveres anyagjegyzékek (SBOM) bevezetéséről” – mondja.
Végül ez a javaslat nem haladt előre, de a szövetségi kormány összes szoftverszállítójára vonatkozó követelmény, hogy igény szerint SBOM-okat állítson elő, beépült egy 2021. májusi végrehajtási rendelet Biden elnöktől – mondja. „Nemrég láthattuk a A nyílt forráskódú szoftverek védelméről szóló 2022. évi törvény bizottságokon keresztül halad. Egyértelműnek tűnik, hogy a Kongresszus keresi a módot az iparág előremozdítására, és a stratégia konkrét új elemeket határoz meg, amelyeket figyelembe kell venni.”
Répa és bot
A jobb biztonsági magatartásra tett erőfeszítések részeként a szövetségi kormány hatalmas beszerzési befolyását fogja felhasználni annak érdekében, hogy a szoftver- és szolgáltatók szerződésben betartsák a minimális biztonsági követelményeket. Támogatásokat és egyéb mechanizmusokat – például kamatmegállapítási folyamatokat és adóstruktúrákat – alkalmaz majd, hogy rávegye a szervezeteket, hogy többet fektessenek be a kiberbiztonságba.
Karen Walsh, az Allegro Solutions kiberbiztonsági megfelelőségi szakértője szerint, ha a terv megfelelően működik, akkor a vállalati gondolkodásmód a „biztonság büntetést jelent” helyett a „biztonság a jutalmak elérése” mentalitás felé változtathat.
„Sok szempontból ez hasonlít ahhoz, ahogy a kormány már most is ösztönzőket kínál a tiszta energiával kapcsolatos kezdeményezésekre” – mondja Walsh.
Küzdeni
Az új stratégia egyik fő célja a szövetségi és a magánszektor képességeinek megerősítése a fenyegetett szereplők működésének és infrastruktúrájának megzavarása érdekében. A tervek között szerepel egy teljes kormányra kiterjedő zavaró képesség fejlesztése, a bűnügyi infrastruktúra és erőforrások összehangoltabb eltávolítása, valamint a fenyegetés szereplői számára, hogy megnehezítsék az amerikai infrastruktúra kiberfenyegetési műveletekhez való használatát.
„Nem valószínű, hogy a fenyegetés szereplőinek leszerelésére széles körben kerül sor” – mondja Allie Mellen, a Forrester vezető elemzője. „Hasonlít a „hack back” gondolatához – elméletileg nagyszerű, de nehéz végrehajtani.
Mellen a kritikus infrastruktúra-szolgáltatókra vonatkozó szabályozás javasolt kiterjesztését tartja az új stratégia messze legjelentősebb elemének.
„Nemcsak minimális kiberbiztonsági követelményeket kíván megállapítani, hanem elkezdi összekapcsolni a technológiai szolgáltatókat, például az infrastruktúra-szolgáltatásként (IaaS) foglalkozó vállalatokat is ezekhez a követelményekhez, kiterjesztve hatókörét” – mondja.
A Claroty's Corman szerint az új stratégia egyes javaslatai valószínűleg kemény beszélgetéseket váltanak ki. De itt az ideje, hogy megszerezzék őket – jegyzi meg.
„Az ellentmondásosabb témákat, mint például a szoftverfelelősséget, bizonyára nehezebb lesz elérni” – jegyzi meg Corman. De az erőfeszítés kulcsfontosságú, mondja.
„Jelentős szakadék tátong a jelenlegi állapot és a létfontosságú infrastruktúrák kiberrezilienciájának kívánt állapota között – merész gondolkodásra és merész cselekvésre van szükségünk, hogy csökkentsük ezt a szakadékot.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- képesség
- hozzáférés
- Elérése
- törvény
- Akció
- szereplők
- mellett
- További
- tapad
- igazgatás
- elfogadja
- Örökbefogadás
- ügynökség
- Minden termék
- már
- között
- elemző
- és a
- és az infrastruktúra
- bejelentés
- megközelít
- területek
- körül
- figyelem
- vonzó
- hatóság
- meghatalmazás
- vissza
- alapján
- Viselik
- mert
- hogy
- BEST
- legjobb gyakorlatok
- Jobb
- között
- Biden
- Biden Adminisztráció
- Számla
- Bankjegyek
- párna
- Brian
- széles
- épít
- hívás
- kéri
- képességek
- ami
- esetek
- lánc
- kihívás
- változó
- fő
- választás
- tiszta energia
- világos
- közelebb
- Társalapító
- együttműködés
- Companies
- verseny
- teljesítés
- összetevő
- alkatrészek
- Kongresszus
- Kongresszusi
- Következmények
- figyelembe vett
- úgy véli,
- szerződés
- vitatott
- Beszélgetés
- beszélgetések
- együttműködés
- összehangolt
- Társasági
- tudott
- Bűnügyi
- kritikai
- Kritikus infrastruktúra
- kritikus
- CTO
- Jelenlegi
- Jelenlegi állapot
- cyber
- Kiberbiztonság
- dátum
- évtized
- alapértelmezett
- Kereslet
- kívánatos
- fejlesztése
- Fejlesztés
- nehéz
- közvetlenül
- megszakítása
- Zavar
- zavarok
- dokumentum
- vezetés
- Hatékony
- erőfeszítés
- erőfeszítések
- elemek
- hangsúly
- energia
- hatalmas
- Szervezetek
- Környezet
- különösen
- létrehozni
- kivégez
- végrehajtó
- létező
- Bontsa
- terjeszkedés
- szakértő
- Elesett
- Szövetségi
- Szövetségi kormány
- szövetségi szabályozók
- kevés
- mező
- pénzügyi
- Összpontosít
- élelmiszer
- Korábbi
- Forrester
- Előre
- Keretrendszer
- ból ből
- Üzemanyag
- teljesen
- funkciók
- rés
- kap
- Ad
- Célok
- megy
- Kormány
- A kormányok
- támogatások
- nagy
- útmutató
- csapkod
- fogantyú
- Kezelés
- Kemény
- Egészség
- Magas
- holding
- Ház
- Hogyan
- HTTPS
- ötlet
- Hatás
- befolyásolta
- végre
- végre
- fontos
- szabhat
- fejlesztések
- javuló
- in
- Ösztönző
- Ösztönzők
- ösztönzése
- tartalmaz
- magában foglalja a
- Beleértve
- Bejegyzett
- egyre inkább
- egyéni
- egyének
- ipar
- Infrastruktúra
- kezdeményezések
- Intézet
- Nemzetközi
- bevezetéséről
- Bevezetés
- befektet
- Beruházások
- IT
- Kulcs
- ismert
- hiány
- Lays
- Jogalkotás
- szint
- felelősség
- Valószínű
- LINK
- helyi
- néz
- keres
- karbantartás
- fontos
- Többség
- csinál
- Gyártás
- vezetés
- menedzser
- megbízások
- kötelező
- Gyártók
- sok
- piacára
- anyag
- jelentőségteljes
- eszközök
- Találkozik
- esetleg
- minimum
- Lendület
- több
- a legtöbb
- mozog
- név
- nemzet
- nemzeti
- Szükség
- Új
- nst
- Megjegyzések
- szám
- számos
- célkitűzés
- Ajánlatok
- ONE
- nyitva
- nyílt forráskódú
- Művelet
- üzemeltetők
- Lehetőségek
- ellentétes
- érdekében
- szervezetek
- Más
- Egyéb
- tulajdonosok
- rész
- Létrehozása
- beteg
- Fizet
- teljesítmény
- Hely
- terv
- tervek
- Plató
- Platón adatintelligencia
- PlatoData
- játék
- politikai
- szegény
- potenciálisan
- hatalom
- gyakorlat
- elnök
- elnök biden
- megakadályozása
- elvek
- prioritás
- magán
- magánszektor
- Folyamatok
- processzorok
- gyárt
- Készült
- Termékek
- támogatása
- javaslat
- javaslatok
- javasolt
- védelme
- védelem
- szolgáltatók
- biztosít
- kiadók
- beszerzési
- Nyomja
- helyezi
- el
- egyensúlyának helyreállítása
- nemrég
- Szabályozás
- előírások
- Szabályozók
- Köztársasági
- szükség
- követelmény
- követelmények
- rugalmas
- Tudástár
- felelősség
- felelős
- Jutalmak
- Gazdag
- biztonságos
- Biztonság
- Mondott
- azt mondja,
- Skála
- szektor
- ágazatok
- biztonság
- biztosítása
- biztonság
- Keresi
- Úgy tűnik,
- idősebb
- szolgáltatás
- Szolgáltatások
- készlet
- Szettek
- váltás
- VÁLTOZÁS
- Műszakok
- HAJÓ
- jelentős
- jelentősen
- hasonló
- egyszerűen
- kicsi
- Társadalom
- szoftver
- szoftverfejlesztés
- Megoldások
- néhány
- forrás
- különleges
- kifejezetten
- érdekeltek
- szabványok
- kezdődött
- kezdődik
- Állami
- nyilatkozat
- Stratéga
- Stratégia
- Meg kell erősíteni
- erősítő
- sikeres
- ilyen
- szenvedő
- szállítók
- kínálat
- ellátási lánc
- ellátási lánc menedzsment
- támogatás
- szisztémás
- Systems
- Vesz
- tart
- cél
- célok
- adó
- Műszaki
- Technologies
- Technológia
- technológiaé
- A
- azok
- maguk
- dolgok
- Gondolkodás
- harmadik fél
- fenyegetés
- fenyegetés szereplői
- Keresztül
- szorosabb
- idő
- nak nek
- Ma
- is
- Témakörök
- Átláthatóság
- kiváltó
- us
- használ
- Felhasználók
- Ve
- gyártók
- keresztül
- Alelnök
- nézetek
- fontos
- sérülékenységek
- Víz
- módon
- Mit
- Mi
- ami
- míg
- WHO
- lesz
- Munka
- dolgozó
- művek
- lenne
- zephyrnet