קולין תיירי
הבית הלבן פרסם ביום רביעי הנחיית אבטחת סייבר עבור ספקי תוכנה ששימשו כהרחבה של צו ביצוע שהנשיא ג'ו ביידן חתם ב-2021.
ביידן חתם על "שיפור אבטחת הסייבר של האומה" במאי 2021, שהתווה תוכניות למודרניזציה של גישת אבטחת הסייבר של ארצות הברית וליישם טכניקות כמו אימות רב-גורמי. חלק אחד של - הזמנה התייחסו לתוכניות לספק הנחיות עבור התוכנה שנרכשה ונפרסה ברשתות ממשלתיות, אשר נכללו ביום רביעי תזכיר.
בבית הלבן הצהרה פורסם גם ביום רביעי, CISO הפדרלי וסגן מנהל הסייבר הלאומי כריס דה-רושה אמרו כי בעוד שהקריטריונים היחידים לאיכות עבור תוכנה היו בעבר האם היא עבדה כפי שפורסמה, הטכנולוגיה כיום חייבת להיות מפותחת בצורה שתהפוך אותה לגמישה ובטוחה .
"ההנחיה, שפותחה עם קלט מהמגזר הציבורי והפרטי וכן מהאקדמיה, מנחה סוכנויות להשתמש רק בתוכנה העומדת בתקני פיתוח תוכנה מאובטחת, יוצרת טופס אישור עצמי עבור יצרני וסוכנויות תוכנה, ותאפשר לממשל הפדרלי. לזהות במהירות פערי אבטחה כאשר מתגלות פרצות חדשות", אמר.
הנחיית אבטחת הסייבר של ביידן חייבה גם סוכנויות ממשלתיות פדרליות לרכוש טופס אישור עצמי מספק תוכנה המאשר שהמוצר תואם להנחיות האבטחה של המכון הלאומי לתקנים וטכנולוגיה (NIST) לפני השימוש בתוכנה חדשה כלשהי.
בהתאם לסוכנות, ייתכן שספק התוכנה יצטרך גם להוכיח תאימות באמצעות חפצים לרבות כתב חומרי תוכנה (SBOM). בנוסף, ייתכן שהספק יידרש לספק ראיות לכך שהוא משתתף בתוכנית לגילוי נקודות תורפה.
בעוד שהצו המבצעי וההנחיות אינם מחייבים באופן חוקי ספקים פרטיים לשחרר תוכנה מאובטחת ותואמת, DeRusha אמרה כי פעולה זו הייתה הכרחית בעקבות מתקפת שרשרת האספקה של SolarWinds בשנת 2020. מתקפת סייבר זו הובילה למספר סוכנויות ממשלתיות שנפלו קורבן לפרצות מידע.
"אירוע זה היה אחד משורה של פריצות סייבר ופגיעויות משמעותיות בתוכנה במהלך השנתיים האחרונות שאיימו על אספקת שירותי הממשלה לציבור, כמו גם על שלמותם של כמויות אדירות של מידע אישי ונתונים עסקיים המנוהלים על ידי המגזר הפרטי", הוסיף דהרושה בהצהרתו.
