バイデン・ハリス政権は本日、ソフトウェア製品とサービスに対する有意義な責任を確立し、重要なインフラストラクチャ部門で必須の最小限のサイバーセキュリティ要件を設定する、抜本的な新しい国家サイバーセキュリティ戦略を発表しました。
この戦略が完全に実施されると、連邦および民間部門の両方の組織が脅威アクターの作戦を妨害および解体する能力も強化され、個人に関するデータを扱うすべての組織がそのデータを保護する方法に細心の注意を払うことが求められます。
この戦略の主な目的の XNUMX つは、連邦規制当局が税制やその他のメカニズムを通じて、すべての利害関係者がより良いセキュリティ慣行を採用するよう奨励する機会を探すことです。
サイバーセキュリティの責任の再調整
バイデン大統領は、「(この戦略は)サイバーセキュリティに対する責任の多くが個人ユーザーや小規模ユーザーに委ねられているという体系的な課題に取り組んでいる」と述べた。 彼の新しい計画の紹介. 「産業界、市民社会、州政府、地方政府、部族政府、準州政府と協力して取り組むことで、サイバーセキュリティに対する責任のバランスを取り直し、より効果的かつ公平なものにしていきます。」
バイデンの戦略は、重要なインフラストラクチャの保護、脅威アクターの運用とインフラストラクチャの混乱、ソフトウェア ベンダーと個人データを処理する組織間のセキュリティの向上、より回復力のあるテクノロジへの投資、サイバーセキュリティに関する国際協力の XNUMX つの特定の分野で協力と勢いを構築することを目指しています。
これらのうち、重要なインフラストラクチャのセキュリティに関する提案されたイニシアチブと、ソフトウェア ベンダーとデータ プロセッサへの責任の転嫁が最も大きな影響を与える可能性があります。
バイデン氏の戦略の重要インフラの構成要素には、重要インフラのすべての事業者に対する最小のサイバーセキュリティ要件を拡大する提案が含まれています。 この規制は、米国国立標準技術研究所 (NIST) のクリティカル インフラストラクチャ サイバーセキュリティを改善するためのフレームワークや、サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) のサイバーセキュリティ パフォーマンス目標など、既存のサイバーセキュリティ基準とガイダンスに基づいています。
セキュア・バイ・デザインへのフォーカス
要件はパフォーマンス ベースであり、変化する要件に適応可能であり、セキュア バイ デザインの原則の採用を促進することに重点を置いています。
「重要なインフラストラクチャのセキュリティに対する自発的なアプローチは有意義な改善をもたらしましたが、必須要件の欠如は不十分で一貫性のない結果をもたらしました」と戦略文書は述べています。 より良いセキュリティを実装するインセンティブが実際には存在しないため、事業者が他の事業者と競合してセキュリティに過小な支出をしている分野では、規制によって競争条件を公平にすることもできます。 この戦略は、新しい要件を満たすための財政的および技術的リソースを持たない可能性のある重要なインフラストラクチャ オペレーターに、それらのリソースを確保するための潜在的に新しい手段を提供します。
CISA の元チーフ ストラテジストであり、現在クラロティのサイバー安全担当副社長である Joshua Corman 氏は、バイデン政権が重要なインフラストラクチャのセキュリティを優先事項とすることを選択したことは重要であると述べています。
「国は、ほんの数例を挙げると、水、食料、燃料、患者ケアへのアクセスなど、多数のライフライン機能に大きな影響を与える重要なインフラストラクチャでのサイバー ディスラプションの成功を目の当たりにしてきました」とコーマンは言います。 「これらはますます混乱に見舞われている重要なシステムであり、この重要なインフラストラクチャの所有者と運用者の多くは、私が「ターゲットリッチ、サイバープア」と呼んでいるものです。」
これらは多くの場合、脅威アクターにとって最も魅力的なターゲットの XNUMX つですが、自分自身を保護するためのリソースが最も少ないと彼は指摘します。
Telos の政府業務担当マネージャーである Robert DuPree 氏は、重要インフラのサイバーセキュリティを強化するというバイデンの計画の鍵として、議会の支援を考えています。
「追加の重要インフラ部門に必須のサイバーセキュリティ要件を課すことを推進するには、場合によっては議会の承認が必要になるだろうが、現在の政治環境では、せいぜい遠回りだ」と彼は声明で述べた. 「共和党下院の過半数は哲学的に新しい政府の命令に反対しており、バイデン政権にそのような権限を与える可能性は低い.」
ソフトウェア セキュリティの説明責任をベンダーに持たせる
バイデン氏の新しい国家サイバーセキュリティ戦略は、物議を醸す可能性が高い動きであり、ソフトウェアベンダーに自社の技術のセキュリティに対するより直接的な責任を負わせることにも重点を置いています。 この計画は、安全でないソフトウェアとサービスに対する責任をベンダーに明確に移し、安全でないソフトウェアの結果を負うエンド ユーザーから遠ざけます。
この取り組みの一環として、バイデン政権は議会と協力して、市場支配力を持つソフトウェア メーカーやパブリッシャーが契約によって責任を放棄することを防止する法案を通過させようとしています。 この戦略は、ソフトウェアの開発と保守のための明確に安全な慣行を備えた組織にセーフ ハーバーを提供します。
「あまりにも多くのベンダーが、安全な開発のベスト プラクティスを無視し、安全でないデフォルト構成や既知の脆弱性を備えた製品を出荷している」と、安全でないサードパーティ製コンポーネントを使用していると述べています。
ソフトウェア ベンダーに責任を転嫁することに加えて、新しい戦略では、個々のデータ、特に地理位置情報と健康データを扱うすべての組織に対して最低限のセキュリティ要件を要求しています。
ソフトウェア ベンダーに責任を転嫁する取り組みに対する議会での支持は、2013 年以上にわたって一貫して現れてきた、と Sonatype の CTO 兼共同創設者である Brian Fox 氏は述べています。 "XNUMX年に、 HR5793 — サイバー サプライ チェーン管理および透明性に関する法律 Royce Bill として知られる、ソフトウェア部品表 (SBOM) の導入に関する会話が始まりました」と彼は言います。
最終的にその提案は前進しませんでしたが、連邦政府へのすべてのソフトウェア サプライヤーが必要に応じて SBOM を作成するという要件は、最終的には 2021 年 XNUMX 月の大統領令 バイデン大統領から、と彼は言います。 「最近では、 2022 年のオープン ソース ソフトウェア保護法 委員会を通じてその道を進んでいます。 議会が業界を前進させる方法を模索していることは明らかであり、戦略は考慮すべき特定の新しい要素を示しています。」
ニンジンとスティック
より良いセキュリティ行動を導く取り組みの一環として、連邦政府は膨大な購買力を利用して、ソフトウェアとサービスのサプライヤーに契約上、最低限のセキュリティ要件を順守させる予定です。 助成金やその他のメカニズム (料金設定プロセスや税制など) を使用して、組織がサイバーセキュリティにより多く投資するようにします。
Allegro Solutions のサイバーセキュリティ コンプライアンス エキスパートである Karen Walsh 氏は、計画が意図したとおりに機能する場合、企業の考え方を「セキュリティは罰則を意味する」から「セキュリティは報酬を得ることを意味する」という考え方に変えることができると述べています。
「多くの点で、これは政府がすでにクリーン エネルギー イニシアチブにインセンティブを提供している方法と似ています」と Walsh 氏は言います。
反撃
新しい戦略の主な焦点の XNUMX つは、連邦および民間部門の能力を強化して、攻撃者の作戦とインフラストラクチャを混乱させることです。 この計画には、政府全体の混乱機能の開発、犯罪インフラとリソースのより協調的な削除、および攻撃者がサイバー脅威作戦に米国のインフラを使用することをより困難にすることが含まれます。
Forrester のシニア アナリストである Allie Mellen 氏は、次のように述べています。 「これは『ハックバック』のアイデアに似ています — 仮説としては素晴らしいですが、実行するのは難しいです。」
メレン氏は、重要なインフラストラクチャ プロバイダーに対する規制の拡大案が、新しい戦略の最も重要な要素であると考えています。
「一連の最小サイバーセキュリティ要件を確立しようとしているだけでなく、IaaS (サービスとしてのインフラストラクチャ) 企業などのテクノロジー プロバイダーをこれらの要件に結びつけ始め、その範囲を広げています」と彼女は言います。
Claroty の Corman 氏は、新しい戦略の提案のいくつかは、難しい議論を引き起こす可能性が高いと述べています。 しかし、それらを手に入れる時が来たと彼は指摘します。
「ソフトウェアの責任など、より論争の的となるトピックは、達成するのがより困難になることは間違いありません」とコーマンは述べています。 しかし、その努力は非常に重要だと彼は言います。
「重要なインフラストラクチャのサイバー レジリエンスの現状と望ましい状態との間には大きなギャップがあります。そのギャップを埋めるためには、大胆な思考と大胆な行動が必要です。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- 能力
- アクセス
- 達成する
- 行為
- Action
- 俳優
- 添加
- NEW
- 付着します
- 管理
- 採用
- 養子縁組
- 代理店
- すべて
- 既に
- 間で
- アナリスト
- および
- とインフラ
- 発表の
- アプローチ
- エリア
- 周りに
- 注意
- 魅力的
- 権威
- 承認
- バック
- ベース
- くま
- なぜなら
- さ
- BEST
- ベストプラクティス
- より良いです
- の間に
- 二人
- バイデン政権
- ビル
- 札
- 大胆な
- ボルスター
- ブライアン
- 広い
- ビルド
- コール
- コール
- 機能
- これ
- 例
- チェーン
- 挑戦する
- 変化
- チーフ
- 選択
- クリーンエネルギー
- クリア
- クローザー
- 共同創設者
- 環境、テクノロジーを推奨
- 企業
- コンペ
- コンプライアンス
- コンポーネント
- コンポーネント
- 議会
- 議会の
- 結果
- 見なさ
- 考慮する
- 縮小することはできません。
- 物議を醸す
- 会話
- 会話
- 協力
- コーディネート
- 企業
- 可能性
- 刑事上の
- 重大な
- 重要インフラ
- 重大な
- CTO
- 電流プローブ
- 現在の状態
- サイバー
- サイバーセキュリティ
- データ
- 十年
- デフォルト
- 需要
- 希望
- 開発
- 開発
- 難しい
- 直接に
- 混乱する
- 途絶
- 混乱
- ドキュメント
- 運転
- 効果的な
- 努力
- 努力
- 要素は
- 強調
- エネルギー
- 巨大な
- エンティティ
- 環境
- 特に
- 確立する
- 実行します
- エグゼクティブ
- 既存の
- 詳細
- 拡大
- エキスパート
- 悪魔を憐れむ歌
- 連邦政府の
- 連邦政府
- 連邦規制当局
- 少数の
- フィールド
- ファイナンシャル
- フォーカス
- フード
- 前者
- フォレスター
- フォワード
- フレームワーク
- から
- ガソリンタンク
- 完全に
- 機能
- ギャップ
- 取得する
- 与える
- 目標
- 行く
- 政府・公共機関
- 政府
- 助成
- 素晴らしい
- ガイド
- ハック
- ハンドル
- ハンドリング
- ハード
- 健康
- ハイ
- 開催
- お家の掃除
- 認定条件
- HTTPS
- アイデア
- 影響
- 影響を受けた
- 実装する
- 実装
- 重要
- 課す
- 改善
- 改善
- in
- 誘因
- インセンティブ
- 奨励します
- include
- 含ま
- 含めて
- Incorporated
- ますます
- 個人
- 個人
- 産業を変えます
- インフラ関連事業
- イニシアチブ
- 機関
- 世界全体
- 導入
- 概要
- 投資する
- インベストメント
- IT
- キー
- 既知の
- 欠如
- 産む
- 立法
- レベル
- 賠償責任
- 可能性が高い
- LINK
- ローカル
- 見て
- 探して
- メンテナンス
- 主要な
- 大多数
- make
- 作成
- 管理
- マネージャー
- 委任
- 義務的な
- メーカー
- 多くの
- 市場
- 材料
- 意味のある
- 手段
- 大会
- かもしれない
- 最小
- 弾み
- 他には?
- 最も
- 名
- 国
- 国民
- 必要
- 新作
- ニスト
- ノート
- 数
- 多数の
- 客観
- オファー
- ONE
- 開いた
- オープンソース
- 業務執行統括
- 演算子
- 機会
- 反対した
- 注文
- 組織
- その他
- その他
- 所有者
- 部
- パートナーシップ
- 患者
- 支払う
- パフォーマンス
- 場所
- 計画
- プラン
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 再生
- 政治的
- 貧しいです
- :
- 電力
- プラクティス
- 社長
- バイデン大統領
- 防ぐ
- 原則
- 優先順位
- プライベート
- 民間企業
- ラボレーション
- プロセッサ
- 作り出す
- 生産された
- 製品
- 推進
- 提案
- 提案
- 提案された
- 守る
- 保護
- プロバイダ
- は、大阪で
- 出版社
- 購買
- プッシュ
- 置く
- リーチ
- リバランス
- 最近
- 規制
- 規制
- レギュレータ
- 共和党の
- 必要とする
- 要件
- 要件
- 弾力性のあります
- リソース
- 責任
- 責任
- 報酬
- 富裕層
- 安全な
- 安全性
- 前記
- 言う
- 規模
- セクター
- セクター
- 安全に
- 確保する
- セキュリティ
- 求める
- と思われる
- シニア
- サービス
- サービス
- セッションに
- セット
- シフト
- シフト
- シフト
- 船
- 重要
- 著しく
- 同様の
- 単に
- 小さい
- 社会
- ソフトウェア
- ソフトウェア開発
- ソリューション
- 一部
- ソース
- 特定の
- 特に
- ステークホルダー
- 規格
- 開始
- 開始
- 都道府県
- ステートメント
- 戦略家
- 戦略
- 強化する
- 強化
- 成功した
- そのような
- 苦しみ
- サプライヤー
- 供給
- サプライチェーン
- サプライチェーンマネジメント
- サポート
- 全身の
- システム
- 取る
- 取り
- ターゲット
- ターゲット
- 税金
- 技術的
- テクノロジー
- テクノロジー
- 技術の
- アプリ環境に合わせて
- 自分自身
- 物事
- 考え
- サードパーティ
- 脅威
- 脅威アクター
- 介して
- タイト
- 時間
- 〜へ
- 今日
- あまりに
- トピック
- 透明性
- トリガー
- us
- つかいます
- users
- Ve
- ベンダー
- 、
- 副会長
- ビュー
- 極めて重要な
- 脆弱性
- 水
- 方法
- この試験は
- 何ですか
- which
- while
- 誰
- 意志
- 仕事
- ワーキング
- 作品
- でしょう
- ゼファーネット