Witte Huis geeft richtlijnen voor cyberbeveiliging voor softwareleveranciers

Gepubliceerd op: 16 september 2022

Het Witte Huis heeft woensdag richtlijnen voor cyberbeveiliging vrijgegeven voor softwareleveranciers die dienden als een verlengstuk van een uitvoeringsbevel dat president Joe Biden in 2021 ondertekende.

Biden ondertekende in mei 2021 "Improving the Nation's Cybersecurity", waarin plannen werden geschetst om de cyberbeveiligingsaanpak van de Verenigde Staten te moderniseren en technieken zoals multifactor-authenticatie te implementeren. Een deel van de uitvoerende orde waarnaar wordt verwezen, plannen om richtlijnen te geven voor de software die is gekocht en geïmplementeerd binnen overheidsnetwerken, die was opgenomen in de memorandum.

In een Witte Huis verklaring Ook gepost op woensdag, zeiden de federale CISO en plaatsvervangend nationaal cyberdirecteur Chris DeRusha dat hoewel het enige kwaliteitscriterium voor een stuk software was of het werkte zoals geadverteerd, de technologie van vandaag moet worden ontwikkeld op een manier die het veerkrachtig en veilig maakt .

“De richtlijn, ontwikkeld met input van de publieke en private sector en de academische wereld, geeft agentschappen de opdracht om alleen software te gebruiken die voldoet aan veilige softwareontwikkelingsnormen, creëert een zelfverklaringsformulier voor softwareproducenten en -agentschappen, en stelt de federale overheid in staat om hiaten in de beveiliging snel te identificeren wanneer nieuwe kwetsbaarheden worden ontdekt, "zei hij.

Biden's cyberbeveiligingsrichtlijnen vereisten ook dat federale overheidsinstanties een zelfverklaringsformulier van een softwareverkoper verkrijgen waarin wordt bevestigd dat het product voldoet aan de beveiligingsrichtlijnen van de Nationaal instituut voor normen en technologie (NIST) voordat u nieuwe software gebruikt.

Afhankelijk van het bureau moet de softwareleverancier mogelijk ook de naleving bewijzen door middel van artefacten, waaronder een softwarefactuur (SBOM). Bovendien kan van de leverancier worden verlangd dat hij bewijs levert dat hij deelneemt aan een programma voor het bekendmaken van kwetsbaarheden.

Hoewel het uitvoerend bevel en de richtlijnen niet wettelijk vereisen dat particuliere leveranciers veilige en compatibele software vrijgeven, zei DeRusha dat deze actie noodzakelijk was na de aanval op de toeleveringsketen van SolarWinds in 2020. Deze cyberaanval leidde ertoe dat verschillende overheidsinstanties het slachtoffer werden van gegevensinbreuken.

“Dit incident was een van een reeks cyberaanvallen en aanzienlijke softwarekwetsbaarheden van de afgelopen twee jaar die de levering van overheidsdiensten aan het publiek hebben bedreigd, evenals de integriteit van enorme hoeveelheden persoonlijke informatie en bedrijfsgegevens die worden beheerd door de particuliere sector”, voegde DeRusha toe in zijn verklaring.