Biden의 사이버 보안 전략은 소프트웨어 책임, 더 엄격한 중요 인프라 보안을 요구합니다.

Biden-Harris 행정부는 오늘 무엇보다도 소프트웨어 제품 및 서비스에 대한 의미 있는 책임을 확립하고 중요 인프라 부문에서 필수 최소 사이버 보안 요구 사항을 설정하는 포괄적인 새로운 국가 사이버 보안 전략을 발표했습니다.

이 전략이 완전히 구현되면 연방 및 민간 부문 기관 모두가 위협 행위자 작전을 중단 및 해체할 수 있는 능력을 강화하고 개인에 대한 데이터를 처리하는 모든 기관이 해당 데이터를 보호하는 방법에 세심한 주의를 기울이도록 요구할 것입니다.

이 전략의 주요 목표 중 하나는 연방 규제 기관이 세금 구조 및 기타 메커니즘을 통해 모든 이해관계자가 더 나은 보안 관행을 채택하도록 장려할 수 있는 기회를 찾는 것입니다.

사이버 보안에 대한 책임 재조정

바이든 대통령은 “[이 전략은] 사이버 보안에 대한 책임이 너무 많은 개인 사용자와 소규모 사용자에게 있다는 시스템적 문제를 제기합니다”라고 썼습니다. 그의 새로운 계획 소개. “업계, 시민 사회, 주, 지방, 부족, 자치령 정부와의 협력을 통해 우리는 사이버 보안에 대한 책임의 균형을 더욱 효과적이고 공평하게 재조정할 것입니다.”

Biden의 전략은 중요한 인프라 보호, 위협 행위자 운영 및 인프라 중단, 개별 데이터를 처리하는 소프트웨어 공급업체 및 조직 간의 보안 강화, 보다 탄력적인 기술에 대한 투자, 사이버 보안에 대한 국제 협력 등 XNUMX가지 특정 영역을 중심으로 협업과 추진력을 구축하는 것을 추구합니다.

이 중에서 중요한 인프라 보안과 책임을 소프트웨어 공급업체 및 데이터 프로세서로 이전하는 것과 관련하여 제안된 이니셔티브가 가장 큰 영향을 미칠 수 있습니다.

Biden 전략의 핵심 인프라 구성 요소에는 핵심 인프라의 모든 운영자에 대한 최소 사이버 보안 요구 사항을 확대하라는 제안이 포함되어 있습니다. 규정은 NIST(국립표준기술연구소)의 중요 인프라 사이버 보안 개선 프레임워크 및 CISA(사이버 보안 인프라 보안국)의 사이버 보안 성과 목표와 같은 기존 사이버 보안 표준 및 지침을 기반으로 합니다.

보안을 통한 설계에 중점

요구 사항은 성능 기반이고, 변화하는 요구 사항에 적응할 수 있으며, 보안 기반 설계 원칙 채택을 촉진하는 데 중점을 둡니다.

전략 문서에는 "중요 인프라 보안에 대한 자발적인 접근 방식이 의미 있는 개선을 가져왔지만 필수 요구 사항이 부족하여 부적절하고 일관되지 않은 결과가 초래되었습니다"라고 명시되어 있습니다. 또한 규제는 더 나은 보안을 구현하려는 인센티브가 실제로 없기 때문에 운영자가 보안에 대한 지출을 줄이기 위해 다른 운영자와 경쟁하는 분야에서 경쟁의 장을 평준화할 수 있습니다. 이 전략은 새로운 요구 사항을 충족할 재정적, 기술적 리소스가 없는 중요한 인프라 운영자에게 해당 리소스를 확보할 수 있는 잠재적인 새로운 방법을 제공합니다.

전직 CISA 최고 전략가이자 현재 Claroty의 사이버 안전 담당 부사장인 Joshua Corman은 중요한 인프라 보안을 우선순위로 삼는 Biden 행정부의 선택이 중요하다고 말합니다.

Corman은 "국가는 물, 음식, 연료 및 환자 치료에 대한 접근을 포함하여 수많은 생명선 기능에 심각한 영향을 미친 중요 인프라에서 성공적인 사이버 중단을 목격했습니다."라고 Corman은 말합니다. "이것은 점점 더 혼란을 겪고 있는 중요한 시스템이며, 이 중요한 인프라의 소유자와 운영자 중 상당수는 내가 '대상 부자, 사이버 빈곤자'라고 부르는 사람들입니다."

이들은 종종 위협 행위자들에게 가장 매력적인 표적 중 하나이지만 스스로를 보호할 수 있는 자원의 수가 가장 적다고 그는 지적합니다.

Telos의 정부 업무 관리자인 Robert DuPree는 의회의 지원이 중요한 인프라 사이버 보안을 강화하려는 Biden의 계획의 핵심이라고 생각합니다.

그는 성명에서 “추가 중요 인프라 부문에 필수 사이버 보안 요구 사항을 부과하려면 어떤 경우에는 의회 승인이 필요할 것인데, 현재 정치 환경에서는 최선의 노력이 필요하다”고 말했다. “공화당 하원 다수는 새로운 정부 명령에 철학적으로 반대하며 바이든 행정부에 그러한 권한을 부여할 것 같지 않습니다.”

소프트웨어 보안에 대한 책임을 공급업체에 부여

논란의 여지가 있는 움직임에서 Biden의 새로운 국가 사이버 보안 전략은 또한 소프트웨어 공급업체가 기술 보안에 대해 보다 직접적인 책임을 갖도록 하는 데 중점을 두고 있습니다. 이 계획은 특히 안전하지 않은 소프트웨어 및 서비스에 대한 책임을 공급업체에 전가하고 안전하지 않은 소프트웨어의 결과를 부담하는 최종 사용자로부터 멀어지게 합니다.

노력의 일환으로 바이든 행정부는 시장 지배력을 가진 소프트웨어 제조업체와 출판사가 계약에 따라 책임을 단순히 부인하는 것을 방지하는 법안을 통과시키기 위해 의회와 협력할 것입니다. 이 전략은 소프트웨어 개발 및 유지 관리에 대한 입증된 보안 관행을 갖춘 조직에 안전한 항구를 제공합니다.

전략 문서에는 “너무 많은 공급업체가 보안 개발에 대한 모범 사례를 무시하고 안전하지 않은 기본 구성이나 알려진 취약점이 있는 제품을 출시하고” 안전하지 않은 타사 구성 요소가 포함되어 있다고 명시되어 있습니다.

소프트웨어 공급업체에 책임을 전가하는 것 외에도 새로운 전략에서는 개별 데이터, 특히 지리적 위치 및 건강 데이터를 처리하는 모든 조직에 대해 최소한의 보안 요구 사항도 요구합니다.

Sonatype의 CTO이자 공동 창립자인 Brian Fox는 소프트웨어 공급업체에 책임을 전가하려는 노력에 대한 의회의 지지가 2013년 넘게 순탄하게 나타났다고 말했습니다. "XNUMX 년에, HR5793 — 사이버 공급망 관리 및 투명성 법률 Royce Bill로 알려진 이 사건은 소프트웨어 자재 명세서(SBOM) 도입에 대한 대화를 시작했습니다.”라고 그는 말합니다.

결국 그 제안은 진전되지 않았지만 연방 정부에 대한 모든 소프트웨어 공급업체가 주문형 SBOM을 생산해야 한다는 요구 사항은 결국 2021년 XNUMX월 행정명령 바이든 대통령이 말했다. “최근에 우리는 2022년 오픈 소스 소프트웨어 보호법 위원회를 통해 일합니다. 의회가 업계를 발전시킬 방법을 찾고 있다는 것이 분명해 보이며, 이 전략은 고려해야 할 구체적이고 새로운 요소를 제시합니다.”

당근과 채찍

더 나은 보안 행동을 안내하기 위한 노력의 일환으로 연방 정부는 막대한 구매 영향력을 활용하여 소프트웨어 및 서비스 공급업체가 계약상 최소 보안 요구 사항을 준수하도록 할 것입니다. 보조금 및 요율 결정 프로세스, 세금 구조 등의 기타 메커니즘을 사용하여 조직이 사이버 보안에 더 많이 투자하도록 할 것입니다.

Allegro Solutions의 사이버 보안 규정 준수 전문가인 Karen Walsh는 계획이 의도한 대로 작동한다면 기업의 사고방식이 "보안은 처벌을 의미한다"에서 "보안은 보상을 얻는 것을 의미한다"는 사고방식으로 바뀔 수 있다고 말합니다.

“여러 면에서 이는 정부가 이미 청정 에너지 계획에 인센티브를 제공하는 방식과 유사합니다.”라고 Walsh는 말합니다.

파이팅 백

새로운 전략의 주요 초점 중 하나는 위협 행위자 운영 및 인프라를 방해하기 위한 연방 및 민간 부문의 역량을 강화하는 것입니다. 이 계획에는 정부 전체를 혼란에 빠뜨릴 수 있는 역량을 개발하고, 범죄 기반 시설과 자원을 더욱 조율적으로 제거하고, 위협 행위자가 사이버 위협 작전을 위해 미국 기반 시설을 사용하는 것을 더 어렵게 만드는 것이 포함됩니다.

Forrester의 수석 분석가인 Allie Mellen은 “위협 행위자를 해체하는 일은 대규모로 이루어질 가능성이 없습니다.”라고 말합니다. "이것은 'hack back'이라는 개념과 유사합니다. 가설적으로는 훌륭하지만 실행하기는 어렵습니다."

Mellen은 중요 인프라 제공자에 대한 규제 확장 제안을 새로운 전략의 가장 중요한 구성 요소로 간주합니다.

"최소한의 사이버 보안 요구 사항을 확립할 뿐만 아니라 IaaS(Infrastructure-as-a-Service) 회사와 같은 기술 제공업체를 이러한 요구 사항에 연결하여 범위를 넓히기 시작했습니다."라고 그녀는 말합니다.

Claroty의 Corman은 새로운 전략의 제안 중 일부가 어려운 대화를 촉발할 가능성이 높다고 말했습니다. 그러나 이제는 그것을 가져야 할 때라고 그는 지적합니다.

Corman은 “소프트웨어 책임과 같이 논란이 많은 주제는 달성하기가 더 어려울 것이라는 점은 인정합니다.”라고 말합니다. 그러나 노력이 중요하다고 그는 말합니다.

"현재 상태와 핵심 인프라 사이버 복원력에 대한 바람직한 상태 사이에는 상당한 격차가 있습니다. 이러한 격차를 줄이기 위해서는 대담한 사고와 과감한 조치가 필요합니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security