Strategia bezpieczeństwa cybernetycznego Bidena wymaga odpowiedzialności za oprogramowanie i ściślejszego zabezpieczenia infrastruktury krytycznej

Administracja Bidena-Harrisa ogłosiła dziś szeroko zakrojoną nową Narodową Strategię Bezpieczeństwa Cybernetycznego, która między innymi ma na celu ustanowienie znaczącej odpowiedzialności za oprogramowanie i usługi oraz określa obowiązkowe minimalne wymagania bezpieczeństwa cybernetycznego w sektorze infrastruktury krytycznej.

Po pełnym wdrożeniu strategia wzmocni również zdolność zarówno podmiotów z sektora federalnego, jak i prywatnego do zakłócania i likwidowania operacji cyberprzestępców oraz wymaga od wszystkich podmiotów, które przetwarzają dane osób fizycznych, zwrócenia większej uwagi na sposób ochrony tych danych.

Jednym z kluczowych celów strategii jest poszukiwanie przez federalne organy regulacyjne możliwości zachęcenia wszystkich interesariuszy do przyjęcia lepszych praktyk w zakresie bezpieczeństwa za pośrednictwem struktur podatkowych i innych mechanizmów.

Zrównoważenie odpowiedzialności za cyberbezpieczeństwo

„[Strategia] podejmuje systemowe wyzwanie polegające na tym, że zbyt duża odpowiedzialność za cyberbezpieczeństwo spadła na indywidualnych użytkowników i małych użytkowników”, napisał prezydent Biden w wstęp do jego nowego planu. „Dzięki partnerskiej współpracy z przemysłem, społeczeństwem obywatelskim oraz władzami stanowymi, lokalnymi, plemiennymi i terytorialnymi zrównoważymy odpowiedzialność za cyberbezpieczeństwo, aby była bardziej skuteczna i sprawiedliwa”.

Strategia Bidena ma na celu zbudowanie współpracy i rozpędu wokół pięciu konkretnych obszarów: ochrona infrastruktury krytycznej, zakłócanie operacji i infrastruktury cyberprzestępców, promowanie lepszego bezpieczeństwa wśród dostawców oprogramowania i organizacji przetwarzających poszczególne dane, inwestycje w bardziej odporne technologie oraz międzynarodowa współpraca w zakresie cyberbezpieczeństwa.

Spośród nich najbardziej znaczący wpływ mogą mieć proponowane inicjatywy dotyczące bezpieczeństwa infrastruktury krytycznej i przeniesienia odpowiedzialności na dostawców oprogramowania i podmioty przetwarzające dane.

Elementem strategii Bidena dotyczącym infrastruktury krytycznej jest propozycja rozszerzenia minimalnych wymogów cyberbezpieczeństwa na wszystkich operatorów infrastruktury krytycznej. Przepisy będą oparte na istniejących standardach i wytycznych dotyczących bezpieczeństwa cybernetycznego, takich jak ramy poprawy bezpieczeństwa cybernetycznego infrastruktury krytycznej Narodowego Instytutu Standardów i Technologii (NIST) oraz cele wydajności cyberbezpieczeństwa Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).

Skoncentrowanie się na bezpiecznym projekcie

Wymagania będą oparte na wydajności, dostosowywalne do zmieniających się wymagań i będą koncentrować się na zachęcaniu do przyjęcia zasad bezpiecznego projektowania.

„Podczas gdy dobrowolne podejście do bezpieczeństwa infrastruktury krytycznej przyniosło znaczące ulepszenia, brak obowiązkowych wymagań doprowadził do nieodpowiednich i niespójnych wyników” – czytamy w dokumencie strategicznym. Regulacje mogą również wyrównać szanse w sektorach, w których operatorzy konkurują z innymi o mniejsze wydatki na bezpieczeństwo, ponieważ tak naprawdę nie ma zachęty do wdrażania lepszych zabezpieczeń. Strategia zapewnia operatorom infrastruktury krytycznej, którzy mogą nie mieć zasobów finansowych i technicznych, aby sprostać nowym wymaganiom, potencjalnie nowe możliwości zabezpieczenia tych zasobów.

Joshua Corman, były główny strateg CISA i obecny wiceprezes ds. bezpieczeństwa cybernetycznego w Claroty, mówi, że decyzja administracji Bidena, by uczynić bezpieczeństwo infrastruktury krytycznej priorytetem, jest ważna.

„Naród był świadkiem udanych cyberzakłóceń w infrastrukturze krytycznej, które znacząco wpłynęły na wiele funkcji linii życia, w tym dostęp do wody, żywności, paliwa i opieki nad pacjentem, by wymienić tylko kilka” — mówi Corman. „Są to kluczowe systemy, które są coraz bardziej narażone na zakłócenia, a wielu właścicieli i operatorów tej krytycznej infrastruktury to osoby, które nazywam„ bogatymi w cele, cyberbiednymi ”.

Zauważa, że ​​są one często jednymi z najbardziej atrakcyjnych celów dla cyberprzestępców, ale dysponują najmniejszą liczbą zasobów, aby się chronić.

Robert DuPree, kierownik ds. rządowych w Telos, uważa wsparcie Kongresu za klucz do planów Bidena dotyczących wzmocnienia cyberbezpieczeństwa infrastruktury krytycznej.

„Dążenie do nałożenia obowiązkowych wymogów bezpieczeństwa cybernetycznego na dodatkowe sektory infrastruktury krytycznej będzie wymagało w niektórych przypadkach zgody Kongresu, co w obecnym środowisku politycznym jest co najmniej odległe” – powiedział w oświadczeniu. „Większość Izby Republikańskiej jest filozoficznie przeciwna nowym mandatom rządowym i raczej nie da administracji Bidena takiej władzy”.

Pociąganie dostawców do odpowiedzialności za bezpieczeństwo oprogramowania

W prawdopodobnie kontrowersyjnym posunięciu nowa narodowa strategia bezpieczeństwa cybernetycznego Bidena kładzie również nacisk na bardziej bezpośrednią odpowiedzialność dostawców oprogramowania za bezpieczeństwo ich technologii. Plan w szczególności przenosi odpowiedzialność za niezabezpieczone oprogramowanie i usługi na dostawców i z dala od użytkowników końcowych, którzy ponoszą konsekwencje niezabezpieczonego oprogramowania.

W ramach wysiłków administracja Bidena będzie współpracować z Kongresem, aby spróbować uchwalić przepisy, które uniemożliwiłyby producentom oprogramowania i wydawcom posiadającym siłę rynkową zwykłe zrzeczenie się odpowiedzialności na mocy umowy. Strategia zapewnia bezpieczną przystań dla organizacji z wyraźnie bezpiecznymi praktykami rozwoju i konserwacji oprogramowania.

„Zbyt wielu dostawców ignoruje najlepsze praktyki w zakresie bezpiecznego programowania, dostarcza produkty z niezabezpieczoną konfiguracją domyślną lub znanymi lukami w zabezpieczeniach” oraz z niezabezpieczonymi komponentami innych firm, czytamy w dokumencie strategicznym.

Oprócz przeniesienia odpowiedzialności na dostawców oprogramowania, nowa strategia wymaga również minimalnych wymagań bezpieczeństwa dla wszystkich organizacji przetwarzających indywidualne dane, w szczególności dane dotyczące geolokalizacji i zdrowia.

Poparcie Kongresu dla wysiłków zmierzających do przeniesienia odpowiedzialności na dostawców oprogramowania przejawiało się zrywami i początkami przez ponad dekadę, mówi Brian Fox, CTO i współzałożyciel Sonatype. "W 2013, HR5793 — Ustawa o zarządzaniu łańcuchem dostaw i przejrzystości w cyberprzestrzeni znany jako Royce Bill zapoczątkował dyskusję na temat wprowadzenia zestawień materiałowych oprogramowania (SBOM)” — mówi.

Ostatecznie ta propozycja nie posunęła się naprzód, ale wymóg, aby wszyscy dostawcy oprogramowania dla rządu federalnego tworzyli SBOM na żądanie, ostatecznie został włączony do Rozporządzenie wykonawcze z maja 2021 r od prezydenta Bidena, mówi. „Ostatnio widzieliśmy tzw Ustawa o zabezpieczaniu oprogramowania typu open source z 2022 r toruje sobie drogę przez komisje. Wydaje się jasne, że Kongres szuka sposobu na posunięcie branży do przodu, a strategia określa konkretne nowe elementy, które należy wziąć pod uwagę”.

Marchewka i patyk

W ramach wysiłków zmierzających do lepszego zachowania w zakresie bezpieczeństwa rząd federalny wykorzysta swoją ogromną siłę nabywczą, aby skłonić dostawców oprogramowania i usług do przestrzegania minimalnych wymagań bezpieczeństwa w ramach umów. Będzie wykorzystywać dotacje i inne mechanizmy — takie jak procesy ustalania stawek i struktury podatkowe — aby skłonić organizacje do większych inwestycji w cyberbezpieczeństwo.

Karen Walsh, ekspert ds. zgodności z cyberbezpieczeństwem w Allegro Solutions, mówi, że jeśli plan zadziała zgodnie z założeniami, może zmienić sposób myślenia korporacyjnego z mentalności „bezpieczeństwo oznacza kary” na mentalność „bezpieczeństwo oznacza osiągnięcie korzyści”.

„Pod wieloma względami jest to podobne do tego, jak rząd już oferuje zachęty do inicjatyw związanych z czystą energią” – mówi Walsh.

Walcząc z powrotem

Jednym z głównych celów nowej strategii jest wzmocnienie zdolności sektora federalnego i prywatnego do zakłócania operacji i infrastruktury cyberprzestępców. Plany obejmują opracowanie zdolności do zakłócania całego rządu, bardziej skoordynowane usuwanie infrastruktury i zasobów przestępczych oraz utrudnianie cyberprzestępcom wykorzystywania infrastruktury USA do operacji związanych z cyberzagrożeniami.

„Jest mało prawdopodobne, aby likwidacja cyberprzestępców odbywała się na szeroką skalę” — mówi Allie Mellen, starszy analityk w firmie Forrester. „Jest to podobne do pomysłu„ hackowania ”- hipotetycznie świetnego, ale trudnego do wykonania”.

Mellen uważa proponowane rozszerzenie regulacji dotyczących dostawców infrastruktury krytycznej za zdecydowanie najważniejszy element nowej strategii.

„Nie tylko ma na celu ustanowienie zestawu minimalnych wymagań dotyczących bezpieczeństwa cybernetycznego, ale także zaczyna łączyć dostawców technologii, takich jak firmy oferujące infrastrukturę jako usługę (IaaS), z tymi wymaganiami, poszerzając swój zasięg”, mówi.

Corman z Claroty mówi, że niektóre propozycje zawarte w nowej strategii prawdopodobnie wywołają trudne rozmowy. Ale najwyższy czas je mieć – zauważa.

„Bardziej kontrowersyjne tematy, takie jak odpowiedzialność za oprogramowanie, będą co prawda trudniejsze do osiągnięcia” — zauważa Corman. Ale wysiłek jest kluczowy, mówi.

„Istnieje znacząca luka między stanem obecnym a stanem pożądanym w zakresie cyberodporności infrastruktury krytycznej — potrzebujemy odważnego myślenia i odważnych działań, aby zmniejszyć tę lukę”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security