L'amministrazione Biden-Harris ha annunciato oggi una nuova e radicale strategia nazionale per la sicurezza informatica che, tra le altre cose, cerca di stabilire una responsabilità significativa per prodotti e servizi software e stabilisce requisiti minimi obbligatori di sicurezza informatica nel settore delle infrastrutture critiche.
Una volta implementata completamente, la strategia rafforzerà anche la capacità delle entità del settore federale e privato di interrompere e smantellare le operazioni degli attori delle minacce e richiederà a tutte le entità che gestiscono i dati sugli individui di prestare maggiore attenzione a come proteggono tali dati.
Un obiettivo chiave della strategia è che le autorità di regolamentazione federali cerchino opportunità per incentivare tutte le parti interessate ad adottare migliori pratiche di sicurezza attraverso strutture fiscali e altri meccanismi.
Riequilibrare la responsabilità per la sicurezza informatica
"[La strategia] affronta la sfida sistemica che troppa responsabilità per la sicurezza informatica è ricaduta sui singoli utenti e sui piccoli utenti", ha scritto il presidente Biden in l'introduzione al suo nuovo piano. "Lavorando in collaborazione con l'industria, la società civile e i governi statali, locali, tribali e territoriali, riequilibreremo la responsabilità della sicurezza informatica per renderla più efficace ed equa".
La strategia di Biden cerca di creare collaborazione e slancio attorno a cinque aree specifiche: protezione delle infrastrutture critiche, interruzione delle operazioni e delle infrastrutture degli attori delle minacce, promozione di una migliore sicurezza tra i fornitori di software e le organizzazioni che gestiscono dati individuali, investimenti in tecnologie più resilienti e cooperazione internazionale sulla sicurezza informatica.
Di queste, le iniziative proposte relative alla sicurezza delle infrastrutture critiche e all'attribuzione della responsabilità ai fornitori di software e ai responsabili del trattamento dei dati potrebbero avere l'impatto più significativo.
La componente infrastruttura critica della strategia di Biden include una proposta per espandere i requisiti minimi di sicurezza informatica per tutti gli operatori di infrastrutture critiche. I regolamenti si baseranno sugli standard e sulle linee guida esistenti in materia di sicurezza informatica, come il Framework for Improving Critical Infrastructure Cybersecurity del National Institute of Standards and Technology (NIST) e gli obiettivi di performance della Cybersecurity and Infrastructure Security Agency (CISA) della Cybersecurity and Infrastructure Security Agency (CISA).
Un focus su Secure by Design
I requisiti saranno basati sulle prestazioni, adattabili ai requisiti mutevoli e si concentreranno sull'adozione di principi di sicurezza per progettazione.
"Mentre gli approcci volontari alla sicurezza delle infrastrutture critiche hanno prodotto miglioramenti significativi, la mancanza di requisiti obbligatori ha portato a risultati inadeguati e incoerenti", afferma il documento strategico. La regolamentazione può anche livellare il campo di gioco nei settori in cui gli operatori sono in competizione con altri per spendere meno per la sicurezza perché non c'è davvero alcun incentivo a implementare una migliore sicurezza. La strategia fornisce agli operatori di infrastrutture critiche che potrebbero non disporre delle risorse finanziarie e tecniche per soddisfare i nuovi requisiti, con potenziali nuove strade per garantire tali risorse.
Joshua Corman, ex capo stratega della CISA e attuale vicepresidente della sicurezza informatica presso Claroty, afferma che la scelta dell'amministrazione Biden di rendere la sicurezza delle infrastrutture critiche una priorità è importante.
"La nazione ha assistito a interruzioni informatiche di successo nelle infrastrutture critiche che hanno avuto un impatto significativo su numerose funzioni vitali, tra cui l'accesso all'acqua, al cibo, al carburante e all'assistenza ai pazienti, solo per citarne alcuni", afferma Corman. "Si tratta di sistemi vitali che subiscono sempre più interruzioni e molti dei proprietari e degli operatori di questa infrastruttura critica sono ciò che definisco 'ricchi di target, poveri di cyber'".
Questi sono spesso tra gli obiettivi più attraenti per gli attori delle minacce, ma hanno il minor numero di risorse per proteggersi, osserva.
Robert DuPree, manager degli affari governativi di Telos, vede il sostegno del Congresso come la chiave dei piani di Biden per rafforzare la sicurezza informatica delle infrastrutture critiche.
"La spinta per imporre requisiti obbligatori di sicurezza informatica su ulteriori settori di infrastrutture critiche richiederà in alcuni casi l'autorizzazione del Congresso, che nell'attuale contesto politico è nel migliore dei casi un azzardo", ha affermato in una nota. "La maggioranza della Camera repubblicana è filosoficamente contraria ai nuovi mandati del governo ed è improbabile che conferisca tale autorità all'amministrazione Biden".
Ritenere i fornitori responsabili della sicurezza del software
In quella che potrebbe essere una mossa controversa, la nuova strategia nazionale di sicurezza informatica di Biden pone anche l'accento sul ritenere i fornitori di software più direttamente responsabili della sicurezza delle loro tecnologie. Il piano sposta specificamente la responsabilità per software e servizi non sicuri sui fornitori e lontano dagli utenti finali che sopportano le conseguenze del software non sicuro.
Come parte dello sforzo, l'amministrazione di Biden collaborerà con il Congresso per cercare di approvare una legislazione che impedirebbe ai produttori di software e agli editori con potere di mercato di negare semplicemente la responsabilità per contratto. La strategia fornisce un porto sicuro per le organizzazioni con pratiche dimostrabilmente sicure per lo sviluppo e la manutenzione del software.
"Troppi fornitori ignorano le migliori pratiche per lo sviluppo sicuro, distribuiscono prodotti con configurazioni predefinite non sicure o vulnerabilità note" e con componenti di terze parti non sicuri, afferma il documento strategico.
Oltre a trasferire la responsabilità ai fornitori di software, la nuova strategia richiede anche requisiti minimi di sicurezza per tutte le organizzazioni che gestiscono i dati individuali, in particolare la geolocalizzazione e i dati sanitari.
Il sostegno del Congresso agli sforzi per trasferire la responsabilità ai fornitori di software si è manifestato a singhiozzo per oltre un decennio, afferma Brian Fox, CTO e co-fondatore di Sonatype. "Nel 2013, HR5793 — Legge sulla gestione e la trasparenza della catena di approvvigionamento informatica noto come Royce Bill ha avviato la conversazione sull'introduzione di distinte base software (SBOM)", afferma.
Alla fine quella proposta non è andata avanti, ma l'obbligo per tutti i fornitori di software del governo federale di produrre SBOM su richiesta è finito per essere incorporato in un Ordine esecutivo di maggio 2021 dal presidente Biden, dice. “Più di recente, abbiamo visto il Legge sulla protezione del software open source del 2022 facendosi strada attraverso i comitati. Sembra chiaro che il Congresso stia cercando un modo per far progredire il settore e la strategia prevede nuovi elementi specifici da considerare".
Carota e bastone
Come parte dello sforzo per guidare un migliore comportamento in materia di sicurezza, il governo federale utilizzerà il suo enorme potere di acquisto per convincere i fornitori di software e servizi ad aderire contrattualmente ai requisiti minimi di sicurezza. Utilizzerà sovvenzioni e altri meccanismi, come processi di tariffazione e strutture fiscali, per convincere le organizzazioni a investire di più nella sicurezza informatica.
Karen Walsh, esperta di conformità alla sicurezza informatica presso Allegro Solutions, afferma che se il piano funziona come previsto, potrebbe spostare la mentalità aziendale da una mentalità "sicurezza significa sanzioni" a una mentalità "sicurezza significa ottenere ricompense".
"Per molti versi, questo è simile al modo in cui il governo offre già incentivi per iniziative di energia pulita", afferma Walsh.
Combattendo
Uno degli obiettivi principali della nuova strategia è il rafforzamento delle capacità del settore federale e privato per interrompere le operazioni e le infrastrutture degli attori delle minacce. I piani includono lo sviluppo di una capacità di interruzione dell'intero governo, la rimozione più coordinata delle infrastrutture e delle risorse criminali e rendere più difficile per gli attori delle minacce utilizzare l'infrastruttura statunitense per le operazioni di minaccia informatica.
"È improbabile che lo smantellamento degli attori delle minacce avvenga su larga scala", afferma Allie Mellen, analista senior di Forrester. "È simile all'idea di 'hack back' — ipoteticamente eccezionale, ma difficile da realizzare."
Mellen considera la proposta di espansione delle normative sui fornitori di infrastrutture critiche come la componente di gran lunga più significativa della nuova strategia.
"Non solo cerca di stabilire una serie di requisiti minimi di sicurezza informatica, ma inizia anche a collegare i fornitori di tecnologia come le società di infrastruttura come servizio (IaaS) a questi requisiti, ampliandone la portata", afferma.
Corman di Claroty afferma che alcune delle proposte nella nuova strategia probabilmente scateneranno alcune conversazioni difficili. Ma è giunto il momento di averli, osserva.
"Gli argomenti più controversi, come la responsabilità del software, saranno certamente più difficili da raggiungere", osserva Corman. Ma lo sforzo è fondamentale, dice.
"Esiste un divario significativo tra lo stato attuale e lo stato desiderato per la resilienza informatica delle infrastrutture critiche: abbiamo bisogno di un pensiero audace e di un'azione coraggiosa per ridurre tale divario".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- capacità
- accesso
- Raggiungere
- Legge
- Action
- attori
- aggiunta
- aggiuntivo
- aderire
- amministrazione
- adottare
- Adozione
- agenzia
- Tutti
- già
- tra
- analista
- ed
- e infrastruttura
- ha annunciato
- approcci
- aree
- in giro
- attenzione
- attraente
- autorità
- autorizzazione
- precedente
- basato
- Orso
- perché
- essendo
- MIGLIORE
- best practice
- Meglio
- fra
- Biden
- Amministrazione Biden
- Conto
- Bills
- perno
- sostenere
- Brian
- ampio
- costruire
- chiamata
- Bandi
- funzionalità
- che
- casi
- catena
- Challenge
- cambiando
- capo
- scegliere
- energia pulita
- pulire campo
- più vicino
- Co-fondatore
- collaborazione
- Aziende
- concorrenza
- conformità
- componente
- componenti
- Congresso
- Congresso
- Conseguenze
- considerato
- ritiene
- contratto
- controverso
- Conversazione
- Conversazioni
- cooperazione
- coordinato
- Aziende
- potuto
- Azione Penale
- critico
- Infrastruttura critica
- cruciale
- CTO
- Corrente
- Stato attuale
- Cyber
- Cybersecurity
- dati
- decennio
- Predefinito
- Richiesta
- desiderato
- in via di sviluppo
- Mercato
- difficile
- direttamente
- disturbare
- Rottura
- interruzioni
- documento
- guida
- Efficace
- sforzo
- sforzi
- elementi
- enfasi
- energia
- enorme
- entità
- Ambiente
- particolarmente
- stabilire
- eseguire
- esecutivo
- esistente
- Espandere
- espansione
- esperto
- Caduto
- Federale
- Governo federale
- regolatori federali
- pochi
- campo
- finanziario
- Focus
- cibo
- Ex
- Forrester
- Avanti
- Contesto
- da
- Carburante
- completamente
- funzioni
- divario
- ottenere
- Dare
- Obiettivi
- andando
- Enti Pubblici
- I governi
- borse di studio
- grande
- guida
- incidere
- maniglia
- Manovrabilità
- Hard
- Salute e benessere
- Alta
- possesso
- Casa
- Come
- HTTPS
- idea
- Impact
- impattato
- realizzare
- implementato
- importante
- imporre
- miglioramenti
- miglioramento
- in
- Incentivo
- Incentive
- incentivare
- includere
- inclusi
- Compreso
- Incorporated
- sempre più
- individuale
- individui
- industria
- Infrastruttura
- iniziative
- Istituto
- Internazionale
- l'introduzione di
- Introduzione
- Investire
- Investimenti
- IT
- Le
- conosciuto
- Dipingere
- Lays
- Legislazione
- Livello
- responsabilità
- probabile
- LINK
- locale
- Guarda
- cerca
- manutenzione
- maggiore
- Maggioranza
- make
- Fare
- gestione
- direttore
- mandati
- obbligatorio
- Produttori
- molti
- Rappresentanza
- materiale
- significativo
- si intende
- Soddisfare
- forza
- ordine
- Impulso
- Scopri di più
- maggior parte
- cambiano
- Nome
- nazione
- il
- Bisogno
- New
- nista
- Note
- numero
- numerose
- obiettivo
- Offerte
- ONE
- aprire
- open source
- Operazioni
- Operatori
- Opportunità
- opposto
- minimo
- organizzazioni
- Altro
- Altri
- proprietari
- parte
- Partnership
- paziente
- Paga le
- performance
- posto
- piano
- piani
- Platone
- Platone Data Intelligence
- PlatoneDati
- gioco
- politico
- povero
- potenzialmente
- energia
- pratiche
- Presidente
- presidente biden
- prevenire
- principi
- priorità
- un bagno
- settore privato
- i processi
- processori
- produrre
- Prodotto
- Prodotti
- promuovere
- proposta
- proposte
- proposto
- protegge
- protezione
- fornitori
- fornisce
- editori
- acquisto
- Spingi
- mette
- raggiungere
- riequilibrare
- recentemente
- Regolamento
- normativa
- Regolatori
- Repubblicano
- richiedere
- requisito
- Requisiti
- elastico
- Risorse
- responsabilità
- responsabile
- Rewards
- Ricco
- sicura
- Sicurezza
- Suddetto
- dice
- Scala
- settore
- Settori
- sicuro
- fissaggio
- problemi di
- cerca
- sembra
- anziano
- servizio
- Servizi
- set
- Set
- spostamento
- MUTEVOLE
- Turni
- NAVE
- significativa
- significativamente
- simile
- semplicemente
- piccole
- Società
- Software
- lo sviluppo del software
- Soluzioni
- alcuni
- Fonte
- specifico
- in particolare
- stakeholder
- standard
- iniziato
- inizio
- Regione / Stato
- dichiarazione
- Stratega
- Strategia
- Rafforza
- potenziamento
- di successo
- tale
- sofferenza
- fornitori
- fornire
- supply chain
- gestione della catena di approvvigionamento
- supporto
- sistemico
- SISTEMI DI TRATTAMENTO
- Fai
- prende
- Target
- obiettivi
- imposta
- Consulenza
- Tecnologie
- Tecnologia
- della tecnologia
- Il
- loro
- si
- cose
- Pensiero
- di parti terze standard
- minaccia
- attori della minaccia
- Attraverso
- stretto
- tempo
- a
- oggi
- pure
- Argomenti
- Trasparenza
- innescare
- us
- uso
- utenti
- Ve
- fornitori
- via
- Vicepresidente
- visualizzazioni
- importantissima
- vulnerabilità
- Water
- modi
- Che
- Che cosa è l'
- quale
- while
- OMS
- volere
- Lavora
- lavoro
- lavori
- sarebbe
- zefiro
