Biden kiberbiztonsági stratégiája szoftverfelelősséget, szigorúbb kritikus infrastruktúra-biztonságot követel

A Biden-Harris adminisztráció ma bejelentette egy átfogó új Nemzeti Kiberbiztonsági Stratégiát, amely többek között a szoftvertermékek és -szolgáltatások érdemi felelősségének megállapítására törekszik, és kötelező minimális kiberbiztonsági követelményeket határoz meg a kritikus infrastruktúra szektorban.

A stratégia teljes megvalósítása esetén a szövetségi és a magánszektorbeli entitások azon képességét is megerősíti, hogy megzavarják és felszámolják a fenyegetést jelentő szereplők tevékenységét, és megköveteli az egyénekre vonatkozó adatokat kezelő összes entitástól, hogy fordítson nagyobb figyelmet az adatok védelmére.

A stratégia egyik kulcsfontosságú célja, hogy a szövetségi szabályozó hatóságok keressenek olyan lehetőségeket, amelyek az összes érdekelt felet jobb biztonsági gyakorlatok elfogadására ösztönözhetik adóstruktúrákon és egyéb mechanizmusokon keresztül.

A kiberbiztonsági felelősség újraegyensúlyozása

„[A stratégia] vállalja azt a rendszerszintű kihívást, hogy a kiberbiztonságért túl sok felelősség hárult az egyéni felhasználókra és a kis felhasználókra” – írta Biden elnök. új tervének bevezetése. "Az iparral, a civil társadalommal, valamint az állami, helyi, törzsi és területi kormányzatokkal együttműködve újra egyensúlyba hozzuk a kiberbiztonsággal kapcsolatos felelősséget, hogy hatékonyabb és igazságosabb legyen."

Biden stratégiája öt konkrét terület köré kívánja felépíteni az együttműködést és lendületet: a kritikus infrastruktúra védelme, a fenyegetett szereplők működésének és infrastruktúrájának megzavarása, a jobb biztonság elősegítése a szoftvergyártók és az egyéni adatokat kezelő szervezetek között, a rugalmasabb technológiákba való befektetések és a kiberbiztonsággal kapcsolatos nemzetközi együttműködés.

Ezek közül a kritikus infrastruktúrák biztonságával és a felelősségnek a szoftvergyártókra és adatfeldolgozókra való áthárításával kapcsolatos javasolt kezdeményezéseknek lehet a legjelentősebb hatása.

Biden stratégiájának kritikus infrastruktúra eleme tartalmaz egy javaslatot a minimális kiberbiztonsági követelmények kiterjesztésére a kritikus infrastruktúra valamennyi üzemeltetője számára. A szabályozás a meglévő kiberbiztonsági szabványokon és útmutatásokon fog alapulni, mint például a Nemzeti Szabványügyi és Technológiai Intézet (NIST) keretrendszere a kritikus infrastruktúrák kiberbiztonságának javítására és a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) kiberbiztonsági teljesítménycéljain.

Fókuszban a tervezési biztonság

A követelmények teljesítményen alapulnak, alkalmazkodnak a változó követelményekhez, és a biztonságos tervezési elvek elfogadására összpontosítanak.

„Míg a kritikus infrastruktúra biztonságának önkéntes megközelítései jelentős javulást hoztak, a kötelező követelmények hiánya nem megfelelő és következetlen eredményeket eredményezett” – áll a stratégiai dokumentumban. A szabályozás egyenlítheti a versenyfeltételeket azokban az ágazatokban is, ahol az üzemeltetők versenyben állnak másokkal a biztonságra való alulköltésért, mivel valójában nincs ösztönzés a jobb biztonság megvalósítására. A stratégia a kritikus infrastruktúra-üzemeltetők számára, amelyek esetleg nem rendelkeznek az új követelmények teljesítéséhez szükséges pénzügyi és műszaki erőforrásokkal, potenciálisan új lehetőségeket kínál ezen erőforrások biztosítására.

Joshua Corman, a CISA korábbi főstratégája és a Claroty kiberbiztonságért felelős jelenlegi alelnöke szerint a Biden-adminisztráció fontos döntése, hogy a kritikus infrastruktúra biztonságát prioritásként kezelje.

„Az ország sikeres kiberzavarokat tapasztalt a kritikus infrastruktúrában, amelyek jelentős hatással voltak számos életfontosságú funkcióra, beleértve a vízhez, élelemhez, üzemanyaghoz és betegellátáshoz való hozzáférést, hogy csak néhányat említsünk” – mondja Corman. „Ezek létfontosságú rendszerek, amelyek egyre inkább zavarokat szenvednek el, és ennek a kritikus infrastruktúrának a tulajdonosai és üzemeltetői közül sokan az úgynevezett „célgazdagok, kiberszegények”.

Ezek gyakran a legvonzóbb célpontok a fenyegetés szereplői számára, de rendelkeznek a legkevesebb erőforrással, hogy megvédjék magukat, jegyzi meg.

Robert DuPree, a Telos kormányzati ügyekért felelős menedzsere a kongresszusi támogatást tekinti kulcsfontosságúnak Biden azon tervében, hogy erősítse a kritikus infrastruktúra kiberbiztonságát.

"A további kritikus infrastruktúra-ágazatok kötelező kiberbiztonsági követelményeinek előírása érdekében bizonyos esetekben kongresszusi engedélyre lesz szükség, ami a jelenlegi politikai környezetben a legjobb esetben is messze van" - mondta közleményében. "A republikánus képviselőház többsége filozófiailag ellenzi az új kormányzati mandátumokat, és nem valószínű, hogy a Biden-adminisztrációnak adna ilyen felhatalmazást."

A szállítók felelősségre vonása a szoftverbiztonságért

A valószínűleg ellentmondásos lépésként Biden új nemzeti kiberbiztonsági stratégiája arra is hangsúlyt fektet, hogy a szoftvergyártókat közvetlenebbül tegye felelőssé technológiáik biztonságáért. A terv kifejezetten áthárítja a nem biztonságos szoftverek és szolgáltatások felelősségét a gyártókra, és elhárítja azokat a végfelhasználókat, akik viselik a nem biztonságos szoftver következményeit.

Az erőfeszítés részeként Biden adminisztrációja a Kongresszussal együttműködve megpróbál olyan jogszabályokat elfogadni, amelyek megakadályozzák, hogy a szoftvergyártók és a piaci erővel rendelkező kiadók egyszerűen szerződéssel elhárítsák a felelősséget. A stratégia biztonságos kikötőt biztosít a bizonyíthatóan biztonságos szoftverfejlesztési és -karbantartási gyakorlattal rendelkező szervezetek számára.

„Túl sok szállító figyelmen kívül hagyja a biztonságos fejlesztés bevált gyakorlatait, nem biztonságos alapértelmezett konfigurációkkal vagy ismert sebezhetőségekkel szállít termékeket” – áll a stratégiai dokumentumban.

Amellett, hogy a felelősséget a szoftvergyártókra hárítja, az új stratégia minimális biztonsági követelményeket is ír elő az egyéni adatokat, különösen a földrajzi helyzetet és az egészségügyi adatokat kezelő összes szervezet számára.

Brian Fox, a Sonatype technológiai igazgatója és társalapítója szerint a Kongresszus támogatja a felelősséget a szoftvergyártókra hárító erőfeszítéseket. "2013-ban, HR5793 – Cyber ​​Supply Chain Management and Transparency Act Royce Bill néven ismertté vált a beszélgetés a szoftveres anyagjegyzékek (SBOM) bevezetéséről” – mondja.

Végül ez a javaslat nem haladt előre, de a szövetségi kormány összes szoftverszállítójára vonatkozó követelmény, hogy igény szerint SBOM-okat állítson elő, beépült egy 2021. májusi végrehajtási rendelet Biden elnöktől – mondja. „Nemrég láthattuk a A nyílt forráskódú szoftverek védelméről szóló 2022. évi törvény bizottságokon keresztül halad. Egyértelműnek tűnik, hogy a Kongresszus keresi a módot az iparág előremozdítására, és a stratégia konkrét új elemeket határoz meg, amelyeket figyelembe kell venni.”

Répa és bot

A jobb biztonsági magatartásra tett erőfeszítések részeként a szövetségi kormány hatalmas beszerzési befolyását fogja felhasználni annak érdekében, hogy a szoftver- és szolgáltatók szerződésben betartsák a minimális biztonsági követelményeket. Támogatásokat és egyéb mechanizmusokat – például kamatmegállapítási folyamatokat és adóstruktúrákat – alkalmaz majd, hogy rávegye a szervezeteket, hogy többet fektessenek be a kiberbiztonságba.

Karen Walsh, az Allegro Solutions kiberbiztonsági megfelelőségi szakértője szerint, ha a terv megfelelően működik, akkor a vállalati gondolkodásmód a „biztonság büntetést jelent” helyett a „biztonság a jutalmak elérése” mentalitás felé változtathat.

„Sok szempontból ez hasonlít ahhoz, ahogy a kormány már most is ösztönzőket kínál a tiszta energiával kapcsolatos kezdeményezésekre” – mondja Walsh.

Küzdeni

Az új stratégia egyik fő célja a szövetségi és a magánszektor képességeinek megerősítése a fenyegetett szereplők működésének és infrastruktúrájának megzavarása érdekében. A tervek között szerepel egy teljes kormányra kiterjedő zavaró képesség fejlesztése, a bűnügyi infrastruktúra és erőforrások összehangoltabb eltávolítása, valamint a fenyegetés szereplői számára, hogy megnehezítsék az amerikai infrastruktúra kiberfenyegetési műveletekhez való használatát.

„Nem valószínű, hogy a fenyegetés szereplőinek leszerelésére széles körben kerül sor” – mondja Allie Mellen, a Forrester vezető elemzője. „Hasonlít a „hack back” gondolatához – elméletileg nagyszerű, de nehéz végrehajtani.

Mellen a kritikus infrastruktúra-szolgáltatókra vonatkozó szabályozás javasolt kiterjesztését tartja az új stratégia messze legjelentősebb elemének.

„Nemcsak minimális kiberbiztonsági követelményeket kíván megállapítani, hanem elkezdi összekapcsolni a technológiai szolgáltatókat, például az infrastruktúra-szolgáltatásként (IaaS) foglalkozó vállalatokat is ezekhez a követelményekhez, kiterjesztve hatókörét” – mondja.

A Claroty's Corman szerint az új stratégia egyes javaslatai valószínűleg kemény beszélgetéseket váltanak ki. De itt az ideje, hogy megszerezzék őket – jegyzi meg.

„Az ellentmondásosabb témákat, mint például a szoftverfelelősséget, bizonyára nehezebb lesz elérni” – jegyzi meg Corman. De az erőfeszítés kulcsfontosságú, mondja.

„Jelentős szakadék tátong a jelenlegi állapot és a létfontosságú infrastruktúrák kiberrezilienciájának kívánt állapota között – merész gondolkodásra és merész cselekvésre van szükségünk, hogy csökkentsük ezt a szakadékot.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security