Gedung Putih Mengeluarkan Panduan Keamanan Siber untuk Vendor Perangkat Lunak

Diterbitkan: September 16, 2022

Gedung Putih merilis panduan keamanan siber pada hari Rabu untuk vendor perangkat lunak yang berfungsi sebagai perpanjangan dari perintah eksekutif yang ditandatangani Presiden Joe Biden pada tahun 2021.

Biden menandatangani “Meningkatkan Keamanan Siber Negara” pada Mei 2021, yang menguraikan rencana untuk memodernisasi pendekatan keamanan siber Amerika Serikat dan menerapkan teknik seperti otentikasi multifaktor. Salah satu bagian dari perintah eksekutif mereferensikan rencana untuk memberikan pedoman bagi perangkat lunak yang dibeli dan digunakan dalam jaringan pemerintah, yang dimuat dalam memorandum.

Di Gedung Putih pernyataan juga diposting pada hari Rabu, CISO Federal dan Deputi Direktur Siber Nasional Chris DeRusha mengatakan bahwa sementara satu-satunya kriteria kualitas untuk perangkat lunak dulu adalah apakah itu berfungsi seperti yang diiklankan, teknologi saat ini harus dikembangkan dengan cara yang membuatnya tangguh dan aman. .

“Panduan, yang dikembangkan dengan masukan dari sektor publik dan swasta serta akademisi, mengarahkan lembaga untuk hanya menggunakan perangkat lunak yang sesuai dengan standar pengembangan perangkat lunak yang aman, membuat formulir pengesahan diri untuk produsen dan lembaga perangkat lunak, dan akan memungkinkan pemerintah federal untuk dengan cepat mengidentifikasi celah keamanan ketika kerentanan baru ditemukan,” katanya.

Panduan keamanan siber Biden juga mengharuskan lembaga pemerintah federal untuk memperoleh formulir pengesahan diri dari vendor perangkat lunak yang mengonfirmasi bahwa produk tersebut sesuai dengan panduan keamanan dari Institut Standar dan Teknologi Nasional (NIST) sebelum menggunakan perangkat lunak baru.

Bergantung pada agensinya, vendor perangkat lunak mungkin juga harus membuktikan kepatuhan melalui artefak termasuk perangkat lunak bill of material (SBOM). Selain itu, vendor mungkin diminta untuk memberikan bukti bahwa ia berpartisipasi dalam program pengungkapan kerentanan.

Sementara perintah dan pedoman eksekutif tidak secara hukum mengharuskan vendor swasta untuk merilis perangkat lunak yang aman dan sesuai, DeRusha mengatakan tindakan ini diperlukan setelah serangan rantai pasokan SolarWinds pada tahun 2020. Serangan siber ini menyebabkan beberapa lembaga pemerintah menjadi korban pelanggaran data.

“Insiden ini adalah salah satu dari serangkaian intrusi dunia maya dan kerentanan perangkat lunak yang signifikan selama dua tahun terakhir yang telah mengancam pengiriman layanan Pemerintah kepada publik, serta integritas sejumlah besar informasi pribadi dan data bisnis yang dikelola oleh swasta,” tambah DeRusha dalam keterangannya.