Biden-Harris-administrasjonen kunngjorde i dag en omfattende ny nasjonal cybersikkerhetsstrategi som blant annet søker å etablere meningsfullt ansvar for programvareprodukter og -tjenester og setter obligatoriske minimumskrav til cybersikkerhet i sektoren for kritisk infrastruktur.
Når den er fullt implementert, vil strategien også styrke evnen til både føderale og private enheter til å forstyrre og demontere trusselaktøroperasjoner og kreve at alle enheter som håndterer data om enkeltpersoner følger nærmere med hvordan de beskytter disse dataene.
Et hovedmål med strategien er at føderale regulatorer skal se etter muligheter for å oppmuntre alle interessenter til å ta i bruk bedre sikkerhetspraksis via skattestrukturer og andre mekanismer.
Rebalansering av ansvaret for cybersikkerhet
"[Strategien] tar på seg den systemiske utfordringen at for mye av ansvaret for cybersikkerhet har falt på individuelle brukere og småbrukere," skrev president Biden i introduksjonen til hans nye plan. "Ved å jobbe i partnerskap med industri, sivilsamfunn og statlige, lokale, stamme- og territorielle myndigheter, vil vi rebalansere ansvaret for cybersikkerhet for å bli mer effektiv og rettferdig."
Bidens strategi søker å bygge samarbeid og fremdrift rundt fem spesifikke områder: beskyttelse av kritisk infrastruktur, forstyrrelse av trusselaktørers operasjoner og infrastruktur, fremme bedre sikkerhet blant programvareleverandører og organisasjoner som håndterer individuelle data, investeringer i mer robuste teknologier og internasjonalt samarbeid om cybersikkerhet.
Av disse kan de foreslåtte initiativene rundt kritisk infrastruktursikkerhet og flytting av ansvar til programvareleverandører og databehandlere ha den største innvirkningen.
Den kritiske infrastrukturkomponenten i Bidens strategi inkluderer et forslag om å utvide minimumskravene til cybersikkerhet for alle operatører av kritisk infrastruktur. Regelverket vil være basert på eksisterende cybersikkerhetsstandarder og veiledning som National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity og Cybersecurity and Infrastructure Security Agency (CISA) Cybersecurity Performance Goals.
Fokus på Secure by Design
Kravene vil være ytelsesbaserte, tilpasningsdyktige til endrede krav, og fokusere på å drive innføringen av prinsipper for sikker design.
"Mens frivillige tilnærminger til kritisk infrastruktursikkerhet har gitt meningsfulle forbedringer, har mangelen på obligatoriske krav resultert i utilstrekkelige og inkonsekvente resultater," heter det i strategidokumentet. Regulering kan også utjevne konkurransevilkårene i sektorer der operatører er i konkurranse med andre om å underbruke sikkerhet fordi det egentlig ikke er noe insentiv til å implementere bedre sikkerhet. Strategien gir kritiske infrastrukturoperatører som kanskje ikke har de økonomiske og tekniske ressursene til å møte de nye kravene, med potensielt nye veier for å sikre disse ressursene.
Joshua Corman, tidligere CISA-sjefstrateg og nåværende visepresident for cybersikkerhet hos Claroty, sier at Biden-administrasjonens valg om å prioritere sikkerhet i kritisk infrastruktur er viktig.
"Nasjonen har sett vellykkede cyberavbrudd i kritisk infrastruktur som har betydelig påvirket en rekke livlinefunksjoner, inkludert tilgang til vann, mat, drivstoff og pasientbehandling, for å nevne noen," sier Corman. "Dette er vitale systemer som i økende grad lider av forstyrrelser, og mange av eierne og operatørene av denne kritiske infrastrukturen er det jeg kaller "målrike, cyberfattige."
Disse er ofte blant de mest attraktive målene for trusselaktører, men har minst antall ressurser til å beskytte seg selv, bemerker han.
Robert DuPree, leder for regjeringssaker i Telos, ser på kongressstøtte som nøkkelen til Bidens planer om å styrke cybersikkerheten for kritisk infrastruktur.
"Pushet for å pålegge obligatoriske nettsikkerhetskrav på ytterligere kritiske infrastruktursektorer vil trenge kongressautorisasjon i noen tilfeller, som i det nåværende politiske miljøet i beste fall er en langsiktig," sa han i en uttalelse. "Det republikanske husflertallet er filosofisk motstander av nye regjeringsmandater og vil sannsynligvis ikke gi Biden-administrasjonen slik autoritet."
Holder leverandører ansvarlige for programvaresikkerhet
I det som sannsynligvis vil være et kontroversielt trekk, legger Bidens nye nasjonale cybersikkerhetsstrategi også vekt på å holde programvareleverandører mer direkte ansvarlige for sikkerheten til teknologiene deres. Planen flytter spesifikt ansvaret for usikker programvare og tjenester til leverandørene og bort fra sluttbrukerne som bærer konsekvensene av usikker programvare.
Som en del av innsatsen vil Bidens administrasjon samarbeide med Kongressen for å prøve å vedta lovgivning som vil forhindre programvareprodusenter og utgivere med markedsmakt fra å fraskrive seg ansvar ved kontrakt. Strategien gir en trygg havn for organisasjoner med beviselig sikker praksis for programvareutvikling og vedlikehold.
"For mange leverandører ignorerer beste praksis for sikker utvikling, sender produkter med usikre standardkonfigurasjoner eller kjente sårbarheter," og med usikre tredjepartskomponenter, heter det i strategidokumentet.
I tillegg til å flytte ansvaret til programvareleverandører, krever den nye strategien også minimumssikkerhetskrav for alle organisasjoner som håndterer individuelle data, spesielt geolokalisering og helsedata.
Støtte i Kongressen for arbeidet med å flytte ansvar til programvareleverandører har manifestert seg i anfall og starter i over et tiår, sier Brian Fox, CTO og medgründer av Sonatype. "I 2013, H.R.5793 — Cyber Supply Chain Management and Transparency Act kjent som Royce Bill startet samtalen rundt introduksjon av programvarelister (SBOM),» sier han.
Til syvende og sist gikk ikke forslaget videre, men kravet til alle programvareleverandører til den føderale regjeringen om å produsere SBOM-er på forespørsel endte opp med å bli innlemmet i en mai 2021 Bestilling fra president Biden, sier han. "Senere har vi sett Sikring av åpen kildekode-programvareloven fra 2022 jobber seg gjennom komiteer. Det virker klart at kongressen leter etter en måte å bringe industrien fremover, og strategien legger ut spesifikke nye elementer som skal vurderes.»
Gulrot og pinne
Som en del av arbeidet med å veilede bedre sikkerhetsatferd, vil den føderale regjeringen bruke sin enorme innkjøpskraft for å få programvare- og tjenesteleverandører til å kontraktsmessig overholde minimumssikkerhetskravene. Den vil bruke bevilgninger og andre mekanismer – som prisfastsettingsprosesser og skattestrukturer – for å få organisasjoner til å investere mer i cybersikkerhet.
Karen Walsh, ekspert på overholdelse av nettsikkerhet ved Allegro Solutions, sier at hvis planen fungerer etter hensikten, kan den endre bedriftens tankesett fra en "sikkerhet betyr straffer" til en "sikkerhet betyr å oppnå belønninger" mentalitet.
"På mange måter ligner dette på hvordan regjeringen allerede tilbyr insentiver for initiativer for ren energi," sier Walsh.
Slåss tilbake
Et hovedfokus i den nye strategien er å styrke evnen til føderal og privat sektor for å forstyrre trusselaktørenes operasjoner og infrastruktur. Planene inkluderer utvikling av en avbruddsevne for hele myndighetene, mer koordinert fjerning av kriminell infrastruktur og ressurser, og å gjøre det vanskeligere for trusselaktører å bruke amerikansk infrastruktur til cybertrusselsoperasjoner.
"Demontering av trusselaktører vil neppe finne sted i bred skala," sier Allie Mellen, senioranalytiker i Forrester. "Det ligner på ideen om 'hack back' - hypotetisk flott, men vanskelig å utføre på."
Mellen anser den foreslåtte utvidelsen av regelverket om tilbydere av kritisk infrastruktur som den desidert viktigste komponenten i den nye strategien.
"Ikke bare ser det ut til å etablere et sett med minimumskrav til cybersikkerhet, men det begynner også å knytte teknologileverandører som infrastruktur-som-en-tjeneste (IaaS)-selskaper til disse kravene, og utvide rekkevidden," sier hun.
Clarotys Corman sier at noen av forslagene i den nye strategien sannsynligvis vil utløse noen harde samtaler. Men det er på høy tid å ha dem, konstaterer han.
"De mer kontroversielle emnene, som programvareansvar, vil riktignok bli vanskeligere å oppnå," bemerker Corman. Men innsatsen er avgjørende, sier han.
"Det er et betydelig gap mellom den nåværende tilstanden og den ønskede tilstanden for kritisk infrastrukturs cyberresiliens - vi trenger dristig tenkning og dristig handling for å begrense dette gapet."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- evne
- adgang
- Oppnå
- Handling
- Handling
- aktører
- tillegg
- Ytterligere
- overholde
- administrasjon
- adoptere
- Adopsjon
- byrå
- Alle
- allerede
- blant
- analytiker
- og
- og infrastruktur
- annonsert
- tilnærminger
- områder
- rundt
- oppmerksomhet
- attraktiv
- myndighet
- autorisasjon
- tilbake
- basert
- Bær
- fordi
- være
- BEST
- beste praksis
- Bedre
- mellom
- Biden
- Biden Administrasjon
- Bill
- Sedler
- pin
- styrke
- Brian
- bred
- bygge
- ring
- Samtaler
- evner
- hvilken
- saker
- kjede
- utfordre
- endring
- sjef
- valg
- ren energi
- fjerne
- nærmere
- Med-grunnlegger
- samarbeid
- Selskaper
- konkurranse
- samsvar
- komponent
- komponenter
- Kongressen
- Congressional
- Konsekvenser
- ansett
- anser
- kontrakt
- kontroversiell
- Samtale
- samtaler
- samarbeid
- koordinert
- Bedriftens
- kunne
- Criminal
- kritisk
- Kritisk infrastruktur
- avgjørende
- CTO
- Gjeldende
- Nåværende situasjon
- cyber
- Cybersecurity
- dato
- tiår
- Misligholde
- Etterspørsel
- ønsket
- utvikle
- Utvikling
- vanskelig
- direkte
- Avbryte
- Avbrudd
- forstyrrelser
- dokument
- kjøring
- Effektiv
- innsats
- innsats
- elementer
- vekt
- energi
- enorm
- enheter
- Miljø
- spesielt
- etablere
- henrette
- utøvende
- eksisterende
- Expand
- utvidelse
- Expert
- Fallen
- Federal
- Føderal regjering
- føderale regulatorer
- Noen få
- felt
- finansiell
- Fokus
- mat
- Tidligere
- Forrester
- Forward
- Rammeverk
- fra
- Brensel
- fullt
- funksjoner
- mellomrom
- få
- Gi
- Mål
- skal
- Regjeringen
- regjeringer
- tilskudd
- flott
- veilede
- hack
- håndtere
- Håndtering
- Hard
- Helse
- Høy
- holder
- hus
- Hvordan
- HTTPS
- Tanken
- Påvirkning
- påvirket
- iverksette
- implementert
- viktig
- pålegge
- forbedringer
- bedre
- in
- Incentive
- Incentiver
- incentivise
- inkludere
- inkluderer
- Inkludert
- Incorporated
- stadig
- individuelt
- individer
- industri
- Infrastruktur
- initiativer
- Institute
- internasjonalt
- innføre
- Introduksjon
- Investere
- Investeringer
- IT
- nøkkel
- kjent
- maling
- Lays
- Lovgivning
- Nivå
- ansvar
- Sannsynlig
- LINK
- lokal
- Se
- ser
- vedlikehold
- større
- Flertall
- gjøre
- Making
- ledelse
- leder
- mandater
- obligatorisk
- Produsenter
- mange
- marked
- materiale
- meningsfylt
- midler
- Møt
- kunne
- minimum
- Momentum
- mer
- mest
- flytte
- navn
- nasjon
- nasjonal
- Trenger
- Ny
- nst
- Merknader
- Antall
- mange
- Målet
- Tilbud
- ONE
- åpen
- åpen kildekode
- Drift
- operatører
- Muligheter
- motsetning
- rekkefølge
- organisasjoner
- Annen
- andre
- eiere
- del
- Partnerskap
- pasient
- Betale
- ytelse
- Sted
- fly
- planer
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- politisk
- dårlig
- potensielt
- makt
- praksis
- president
- president biden
- forebygge
- prinsipper
- prioritet
- privat
- privat sektor
- Prosesser
- prosessorer
- produsere
- produsert
- Produkter
- fremme
- forslag
- forslag
- foreslått
- beskytte
- beskyttelse
- tilbydere
- gir
- utgivere
- innkjøp
- Skyv
- setter
- å nå
- rebalansere
- nylig
- Regulering
- forskrifter
- Regulatorer
- Republican
- krever
- behov
- Krav
- spenstig
- Ressurser
- ansvar
- ansvarlig
- Belønninger
- Rich
- trygge
- Sikkerhet
- Sa
- sier
- Skala
- sektor
- sektorer
- sikre
- sikring
- sikkerhet
- søker
- synes
- senior
- tjeneste
- Tjenester
- sett
- sett
- skift
- SKIFTENDE
- Skift
- SKIP
- signifikant
- betydelig
- lignende
- ganske enkelt
- liten
- Samfunnet
- Software
- programvareutvikling
- Solutions
- noen
- kilde
- spesifikk
- spesielt
- interessenter
- standarder
- startet
- starter
- Tilstand
- Uttalelse
- Strategist
- Strategi
- Forsterke
- styrke
- vellykket
- slik
- lidelse
- leverandører
- levere
- forsyningskjeden
- leverandørkrav
- støtte
- systemisk
- Systemer
- Ta
- tar
- Target
- mål
- skatt
- Teknisk
- Technologies
- Teknologi
- teknologiens
- De
- deres
- seg
- ting
- tenker
- tredjeparts
- trussel
- trusselaktører
- Gjennom
- strammere
- tid
- til
- i dag
- også
- temaer
- Åpenhet
- utløse
- us
- bruke
- Brukere
- Ve
- leverandører
- av
- Vice President
- visninger
- vital
- Sikkerhetsproblemer
- Vann
- måter
- Hva
- Hva er
- hvilken
- mens
- HVEM
- vil
- Arbeid
- arbeid
- virker
- ville
- zephyrnet
