Colin Thierry
A Fehér Ház szerdán kiadott egy kiberbiztonsági útmutatót a szoftvergyártók számára, amely Joe Biden elnök 2021-ben aláírt végrehajtási rendeletének meghosszabbításaként szolgált.
Biden 2021 májusában aláírta az „A nemzet kiberbiztonságának javítása” című dokumentumot, amely felvázolta az Egyesült Államok kiberbiztonsági megközelítésének modernizálását és olyan technikák bevezetését, mint a többtényezős hitelesítés. Egy része a végrehajtási utasítás hivatkozott terveket, amelyek iránymutatást adnak a kormányzati hálózatokon belül megvásárolt és telepített szoftverekhez, amelyet a szerdai memorandum.
Egy Fehér Házban nyilatkozat A szövetségi CISO és a nemzeti kiberigazgató-helyettes, Chris DeRusha azt is közzétette, hogy bár korábban egy szoftver egyetlen minőségi kritériuma az volt, hogy a hirdetett módon működik-e, a technológiát ma úgy kell fejleszteni, hogy az rugalmas és biztonságos legyen. .
„Az állami és a magánszektor, valamint a tudományos szféra közreműködésével kidolgozott útmutatás arra utasítja az ügynökségeket, hogy csak olyan szoftvert használjanak, amely megfelel a biztonságos szoftverfejlesztési szabványoknak, önigazolási űrlapot hoz létre a szoftvergyártók és -ügynökségek számára, és lehetővé teszi a szövetségi kormány számára hogy gyorsan azonosítsák a biztonsági hiányosságokat, amikor új sebezhetőségeket fedeznek fel” – mondta.
Biden kiberbiztonsági útmutatásai azt is megkövetelték a szövetségi kormányhivataloktól, hogy szerezzenek be egy önigazolási űrlapot egy szoftverszállítótól, amely megerősíti, hogy a termék megfelel a szövetségi kormány biztonsági útmutatásainak. Nemzeti Szabványügyi és Technológiai Intézet (NIST) mielőtt bármilyen új szoftvert használna.
Az ügynökségtől függően előfordulhat, hogy a szoftverszállítónak műtermékekkel is igazolnia kell a megfelelőséget, beleértve a szoftverjegyzéket (SBOM). Ezenkívül előfordulhat, hogy a szállítónak bizonyítékot kell szolgáltatnia arra vonatkozóan, hogy részt vesz a sebezhetőség feltáró programjában.
Bár a végrehajtási rendelet és irányelvek jogilag nem írják elő a magánszállítók számára, hogy biztonságos és megfelelő szoftvereket adjanak ki, a DeRusha szerint erre a lépésre a SolarWinds ellátási lánc 2020-as támadása után volt szükség. Ez a kibertámadás több kormányzati ügynökség áldozatává vált adatszivárgásnak.
„Ez az incidens egyike volt a számítógépes behatolások sorozatának és jelentős szoftversebezhetőségnek az elmúlt két évben, amelyek veszélyeztették a kormányzati szolgáltatások nyilvánossághoz történő eljuttatását, valamint az általa kezelt hatalmas mennyiségű személyes információ és üzleti adat integritását. a magánszektor” – tette hozzá közleményében DeRusha.
