De regering-Biden-Harris heeft vandaag een ingrijpende nieuwe nationale cyberbeveiligingsstrategie aangekondigd die onder meer een zinvolle aansprakelijkheid voor softwareproducten en -diensten probeert vast te stellen en verplichte minimale cyberbeveiligingsvereisten in de kritieke infrastructuursector vaststelt.
Wanneer de strategie volledig is geïmplementeerd, zal de strategie ook het vermogen van zowel federale als particuliere entiteiten versterken om operaties van bedreigingsactoren te verstoren en te ontmantelen, en zal van alle entiteiten die gegevens over individuen verwerken, worden vereist dat ze meer aandacht besteden aan de manier waarop ze die gegevens beschermen.
Een belangrijke doelstelling van de strategie is dat federale regelgevers op zoek gaan naar mogelijkheden om alle belanghebbenden te stimuleren betere beveiligingspraktijken toe te passen via belastingstructuren en andere mechanismen.
De verantwoordelijkheid voor cyberbeveiliging opnieuw in evenwicht brengen
“[De strategie] gaat de systemische uitdaging aan dat te veel van de verantwoordelijkheid voor cyberbeveiliging bij individuele gebruikers en kleine gebruikers is gevallen”, schreef president Biden in de introductie van zijn nieuwe plan. "Door samen te werken met de industrie, het maatschappelijk middenveld en nationale, lokale, tribale en territoriale overheden, zullen we de verantwoordelijkheid voor cyberbeveiliging opnieuw in evenwicht brengen om effectiever en rechtvaardiger te zijn."
De strategie van Biden is gericht op het opbouwen van samenwerking en momentum rond vijf specifieke gebieden: bescherming van kritieke infrastructuur, verstoring van de operaties en infrastructuur van bedreigingsactoren, bevordering van betere beveiliging bij softwareleveranciers en organisaties die individuele gegevens verwerken, investeringen in veerkrachtigere technologieën en internationale samenwerking op het gebied van cyberbeveiliging.
Hiervan zouden de voorgestelde initiatieven rond de beveiliging van kritieke infrastructuur en het verschuiven van aansprakelijkheid naar softwareleveranciers en gegevensverwerkers de grootste impact kunnen hebben.
De kritieke infrastructuurcomponent van de strategie van Biden omvat een voorstel om de minimale cyberbeveiligingsvereisten voor alle exploitanten van kritieke infrastructuur uit te breiden. De regelgeving zal gebaseerd zijn op bestaande cyberbeveiligingsnormen en richtlijnen, zoals het National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity en de Cybersecurity and Infrastructure Security Agency (CISA) Cybersecurity Performance Goals.
Een focus op veilig door ontwerp
De vereisten zullen op prestaties gebaseerd zijn, kunnen worden aangepast aan veranderende vereisten en zijn gericht op het stimuleren van de acceptatie van 'secure-by-design'-principes.
"Hoewel vrijwillige benaderingen van de beveiliging van kritieke infrastructuur tot zinvolle verbeteringen hebben geleid, heeft het ontbreken van verplichte vereisten geleid tot ontoereikende en inconsistente resultaten", aldus het strategiedocument. Regulering kan ook het speelveld egaliseren in sectoren waar exploitanten met anderen concurreren om te weinig uit te geven aan beveiliging, omdat er echt geen prikkel is om betere beveiliging te implementeren. De strategie biedt exploitanten van kritieke infrastructuur die mogelijk niet over de financiële en technische middelen beschikken om aan de nieuwe vereisten te voldoen, mogelijk nieuwe mogelijkheden om die middelen veilig te stellen.
Joshua Corman, voormalig CISA-hoofdstrateeg en huidig vice-president van cyberveiligheid bij Claroty, zegt dat de keuze van de regering-Biden om van de beveiliging van kritieke infrastructuur een prioriteit te maken, een belangrijke is.
"De natie heeft succesvolle cyberverstoringen gezien in kritieke infrastructuur die een aanzienlijke impact hebben gehad op tal van levenslijnfuncties, waaronder toegang tot water, voedsel, brandstof en patiëntenzorg, om er maar een paar te noemen", zegt Corman. "Dit zijn vitale systemen die in toenemende mate te kampen hebben met verstoringen, en veel van de eigenaren en exploitanten van deze kritieke infrastructuur zijn wat ik noem 'target rich, cyber poor'."
Dit zijn vaak de meest aantrekkelijke doelwitten voor dreigingsactoren, maar ze hebben de minste middelen om zichzelf te beschermen, merkt hij op.
Robert DuPree, manager overheidszaken bij Telos, beschouwt de steun van het congres als de sleutel tot de plannen van Biden om de cyberbeveiliging van kritieke infrastructuur te versterken.
"De drang om verplichte cyberbeveiligingseisen op te leggen aan aanvullende kritieke infrastructuursectoren zal in sommige gevallen toestemming van het congres nodig hebben, wat in het huidige politieke klimaat op zijn best een gok is", zei hij in een verklaring. “De meerderheid van het Republikeinse Huis is filosofisch tegen nieuwe regeringsmandaten en zal de regering-Biden waarschijnlijk niet zo’n autoriteit geven.”
Leveranciers verantwoordelijk houden voor softwarebeveiliging
In wat waarschijnlijk een controversiële zet is, legt de nieuwe nationale cyberbeveiligingsstrategie van Biden ook de nadruk op het directer verantwoordelijk houden van softwareleveranciers voor de beveiliging van hun technologieën. Het plan verschuift specifiek de aansprakelijkheid voor onveilige software en diensten naar de leveranciers en weg van de eindgebruikers die de gevolgen van onveilige software dragen.
Als onderdeel van de inspanning zal de regering van Biden samenwerken met het Congres om te proberen wetgeving goed te keuren die zou voorkomen dat softwarefabrikanten en uitgevers met marktmacht eenvoudigweg contractueel afstand doen van aansprakelijkheid. De strategie biedt een veilige haven voor organisaties met aantoonbaar veilige werkwijzen voor softwareontwikkeling en -onderhoud.
"Te veel leveranciers negeren best practices voor veilige ontwikkeling, leveren producten met onveilige standaardconfiguraties of bekende kwetsbaarheden", en met onveilige componenten van derden, aldus het strategiedocument.
Naast het verschuiven van de aansprakelijkheid naar softwareleveranciers, roept de nieuwe strategie ook op tot minimale beveiligingsvereisten voor alle organisaties die met individuele gegevens omgaan, met name geolocatie- en gezondheidsgegevens.
Ondersteuning in het Congres voor pogingen om de aansprakelijkheid af te schuiven op softwareleveranciers heeft zich al meer dan een decennium met horten en stoten gemanifesteerd, zegt Brian Fox, CTO en mede-oprichter van Sonatype. "In 2013, HR5793 — Cyber Supply Chain Management en Transparantiewet bekend als de Royce Bill begon het gesprek over de invoering van software materiaallijsten (SBOM), zegt hij.
Uiteindelijk kwam dat voorstel niet door, maar de eis voor alle softwareleveranciers aan de federale overheid om SBOM's op aanvraag te produceren, werd uiteindelijk opgenomen in een Uitvoerend besluit mei 2021 van president Biden, zegt hij. “Meer recentelijk hebben we de Beveiliging van Open Source Software Act van 2022 zich een weg baant door commissies. Het lijkt duidelijk dat het Congres op zoek is naar een manier om de industrie vooruit te helpen, en de strategie bevat specifieke nieuwe elementen waarmee rekening moet worden gehouden.”
Wortel en stok
Als onderdeel van de inspanning om beter beveiligingsgedrag te sturen, zal de federale overheid haar enorme inkoopkracht gebruiken om software- en serviceleveranciers contractueel te laten voldoen aan minimale beveiligingsvereisten. Het zal subsidies en andere mechanismen gebruiken – zoals tariefvormingsprocessen en belastingstructuren – om organisaties ertoe te brengen meer te investeren in cyberbeveiliging.
Karen Walsh, cybersecurity-compliance-expert bij Allegro Solutions, zegt dat als het plan werkt zoals bedoeld, het de bedrijfsmentaliteit zou kunnen veranderen van een mentaliteit van "beveiliging betekent boetes" naar een "beveiliging betekent beloningen behalen".
"In veel opzichten is dit vergelijkbaar met hoe de overheid al stimulansen biedt voor initiatieven op het gebied van schone energie", zegt Walsh.
Terug vechten
Een belangrijk aandachtspunt van de nieuwe strategie is het versterken van de capaciteiten van de federale en particuliere sector om de operaties en infrastructuur van bedreigingsactoren te verstoren. De plannen omvatten onder meer het ontwikkelen van een overheidsbreed ontwrichtend vermogen, meer gecoördineerde verwijderingen van criminele infrastructuur en middelen, en het moeilijker maken voor aanvallers om de Amerikaanse infrastructuur te gebruiken voor cyberdreigingsoperaties.
"Het is onwaarschijnlijk dat het op grote schaal ontmantelen van bedreigingsactoren zal plaatsvinden", zegt Allie Mellen, senior analist bij Forrester. "Het is vergelijkbaar met het idee van 'hack back' - hypothetisch geweldig, maar moeilijk uit te voeren."
Mellen beschouwt de voorgestelde uitbreiding van regelgeving voor leveranciers van kritieke infrastructuur als verreweg het belangrijkste onderdeel van de nieuwe strategie.
"Het probeert niet alleen een reeks minimale cyberbeveiligingsvereisten vast te stellen, maar het begint ook technologieleveranciers zoals Infrastructure-as-a-Service (IaaS)-bedrijven aan deze vereisten te koppelen, waardoor het bereik groter wordt", zegt ze.
Corman van Claroty zegt dat sommige van de voorstellen in de nieuwe strategie waarschijnlijk tot moeilijke gesprekken zullen leiden. Maar het is hoog tijd om ze te hebben, merkt hij op.
"De meer controversiële onderwerpen, zoals softwareaansprakelijkheid, zullen moeilijker te bereiken zijn", merkt Corman op. Maar de inspanning is cruciaal, zegt hij.
"Er is een aanzienlijke kloof tussen de huidige staat en de gewenste staat voor de cyberweerbaarheid van kritieke infrastructuur - we hebben gedurfd denken en gedurfde actie nodig om die kloof te verkleinen."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- vermogen
- toegang
- Bereiken
- Handelen
- Actie
- actoren
- toevoeging
- Extra
- aanhangen
- administratie
- adopteren
- Adoptie
- agentschap
- Alles
- al
- onder
- analist
- en
- en infrastructuur
- aangekondigd
- benaderingen
- gebieden
- rond
- aandacht
- aantrekkelijk
- autoriteit
- machtiging
- terug
- gebaseerde
- Beer
- omdat
- wezen
- BEST
- 'best practices'
- Betere
- tussen
- biden
- Biden-administratie
- Bill
- Biljetten
- pin
- ondersteunen
- Brian
- breed
- bouw
- Bellen
- oproepen
- mogelijkheden
- verzorging
- gevallen
- keten
- uitdagen
- veranderende
- chef
- keuze
- schone energie
- duidelijk
- dichterbij
- Mede-oprichter
- samenwerking
- Bedrijven
- concurrentie
- nakoming
- bestanddeel
- componenten
- Congres
- Congressional
- Gevolgen
- beschouwd
- beschouwt
- contract
- controversieel
- Gesprek
- conversaties
- samenwerking
- gecoördineerd
- Bedrijfs-
- kon
- Crimineel
- kritisch
- Kritische infrastructuur
- cruciaal
- CTO
- Actueel
- Huidige toestand
- cyber
- Cybersecurity
- gegevens
- decennium
- Standaard
- Vraag
- gewenste
- het ontwikkelen van
- Ontwikkeling
- moeilijk
- direct
- ontwrichten
- Ontwrichting
- verstoringen
- document
- aandrijving
- effectief
- inspanning
- inspanningen
- geeft je de mogelijkheid
- nadruk
- energie-niveau
- enorm
- entiteiten
- Milieu
- vooral
- oprichten
- uitvoeren
- uitvoerend
- bestaand
- Uitvouwen
- uitbreiding
- expert
- Gevallen
- Federaal
- Federale overheid
- federale toezichthouders
- weinig
- veld-
- financieel
- Focus
- eten
- Voormalig
- Forrester
- Naar voren
- Achtergrond
- oppompen van
- Brandstof
- geheel
- functies
- kloof
- krijgen
- Geven
- Doelen
- gaan
- Overheid
- overheden
- subsidies
- groot
- gids
- houwen
- handvat
- Behandeling
- Hard
- Gezondheid
- Hoge
- bezit
- Huis
- Hoe
- HTTPS
- idee
- Impact
- beïnvloed
- uitvoeren
- geïmplementeerd
- belangrijk
- opgelegde
- verbeteringen
- het verbeteren van
- in
- aansporing
- Incentives
- stimuleren
- omvatten
- omvat
- Inclusief
- Incorporated
- in toenemende mate
- individueel
- individuen
- -industrie
- Infrastructuur
- initiatieven
- Instituut
- Internationale
- de invoering
- Introductie
- Investeren
- Investeringen
- IT
- sleutel
- bekend
- Gebrek
- Lays
- Wetgeving
- Niveau
- aansprakelijkheid
- Waarschijnlijk
- LINK
- lokaal
- Kijk
- op zoek
- onderhoud
- groot
- Meerderheid
- maken
- maken
- management
- manager
- mandaten
- verplicht
- Fabrikanten
- veel
- Markt
- materiaal
- zinvolle
- middel
- Maak kennis met
- macht
- minimum
- stuwkracht
- meer
- meest
- beweging
- naam
- natie
- nationaal
- Noodzaak
- New
- NIST
- Opmerkingen
- aantal
- vele
- doel van de persoon
- Aanbod
- EEN
- open
- open source
- Operations
- exploitanten
- Kansen
- gekant tegen
- bestellen
- organisaties
- Overige
- Overig
- eigenaren
- deel
- Samenwerking
- patiënt
- Betaal
- prestatie
- plaats
- plan
- plannen
- Plato
- Plato gegevensintelligentie
- PlatoData
- spelen
- politiek
- arm
- mogelijk
- energie
- praktijken
- president
- voorzitter bidden
- voorkomen
- principes
- prioriteit
- privaat
- prive-sector
- processen
- processors
- produceren
- geproduceerd
- Producten
- Het bevorderen van
- voorstel
- voorstellen
- voorgestelde
- beschermen
- bescherming
- providers
- biedt
- uitgevers
- de aankoop van
- Duwen
- puts
- bereiken
- herbalanceren
- onlangs
- Regulatie
- reglement
- Regelgevers
- Republikeins
- vereisen
- vereiste
- Voorwaarden
- veerkrachtig
- Resources
- verantwoordelijkheid
- verantwoordelijk
- Beloningen
- Rijk
- veilig
- Veiligheid
- Zei
- zegt
- Scale
- sector
- Sectoren
- beveiligen
- beveiligen
- veiligheid
- zoekt
- lijkt
- senior
- service
- Diensten
- reeks
- Sets
- verschuiving
- VERSCHUIVEN
- Ploegen
- SHIP
- aanzienlijke
- aanzienlijk
- gelijk
- eenvoudigweg
- Klein
- Maatschappij
- Software
- software development
- Oplossingen
- sommige
- bron
- specifiek
- specifiek
- stakeholders
- normen
- gestart
- starts
- Land
- Statement
- Strateeg
- Strategie
- Versterken
- versterking
- geslaagd
- dergelijk
- zieken
- leveranciers
- leveren
- toeleveringsketen
- voorraadketenbeheer
- ondersteuning
- systemische
- Systems
- Nemen
- neemt
- doelwit
- doelen
- belasting
- Technisch
- Technologies
- Technologie
- technologie
- De
- hun
- zich
- spullen
- het denken
- van derden
- bedreiging
- bedreigingsactoren
- Door
- strakker
- niet de tijd of
- naar
- vandaag
- ook
- onderwerpen
- Transparantie
- leiden
- us
- .
- gebruikers
- Ve
- vendors
- via
- Vice President
- .
- vitaal
- kwetsbaarheden
- Water
- manieren
- Wat
- Wat is
- welke
- en
- WIE
- wil
- Mijn werk
- werkzaam
- Bedrijven
- zou
- zephyrnet
