Biały Dom wydaje wskazówki dotyczące cyberbezpieczeństwa dla dostawców oprogramowania

Opublikowany: 16 września 2022 r.

Biały Dom opublikował w środę wytyczne dotyczące cyberbezpieczeństwa dla producentów oprogramowania, które służyły jako przedłużenie zarządzenia wykonawczego podpisanego przez prezydenta Joe Bidena w 2021 roku.

Biden podpisał „Improving the Nation's Cybersecurity” w maju 2021 r., który nakreślił plany modernizacji podejścia do cyberbezpieczeństwa Stanów Zjednoczonych i wdrożenia technik, takich jak uwierzytelnianie wieloskładnikowe. Jedna część zarządzenie wykonawcze powoływały się na plany dostarczenia wytycznych dla oprogramowania zakupionego i wdrożonego w sieciach rządowych, które zostały zawarte w środę memorandum.

W Białym Domu oświadczenie również opublikowany w środę, federalny CISO i zastępca krajowego dyrektora ds. Cyber ​​​​Cyberys DeRusha powiedział, że podczas gdy jedynym kryterium jakości oprogramowania było to, czy działało zgodnie z reklamą, dziś technologia musi być rozwijana w taki sposób, aby była odporna i bezpieczna .

„Wytyczne, opracowane przy udziale sektora publicznego i prywatnego, a także środowisk akademickich, kierują agencje do korzystania wyłącznie z oprogramowania, które jest zgodne ze standardami bezpiecznego tworzenia oprogramowania, tworzą formularz samopoświadczenia dla producentów oprogramowania i agencji oraz pozwolą rządowi federalnemu aby szybko zidentyfikować luki w zabezpieczeniach, gdy zostaną odkryte nowe luki” – powiedział.

Wytyczne firmy Biden dotyczące bezpieczeństwa cybernetycznego wymagały również od federalnych agencji rządowych uzyskania formularza samopoświadczenia od dostawcy oprogramowania, potwierdzającego, że produkt jest zgodny z wytycznymi dotyczącymi bezpieczeństwa wydanymi przez Narodowy Instytut Standardów i Technologii (NIST) przed użyciem nowego oprogramowania.

W zależności od agencji dostawca oprogramowania może również być zmuszony do udowodnienia zgodności za pomocą artefaktów, w tym zestawienia komponentów oprogramowania (SBOM). Ponadto dostawca może być zobowiązany do przedstawienia dowodu, że uczestniczy w programie ujawniania luk w zabezpieczeniach.

Podczas gdy rozporządzenie wykonawcze i wytyczne nie wymagają prawnie od prywatnych dostawców wydawania bezpiecznego i zgodnego oprogramowania, DeRusha powiedział, że to działanie było konieczne po ataku na łańcuch dostaw SolarWinds w 2020 roku. Ten cyberatak doprowadził do tego, że kilka agencji rządowych padło ofiarą naruszeń danych.

„Incydent ten był jednym z szeregu włamań cybernetycznych i znaczących luk w oprogramowaniu w ciągu ostatnich dwóch lat, które zagrażały świadczeniu usług rządowych społeczeństwu, a także integralności ogromnych ilości danych osobowych i danych biznesowych zarządzanych przez sektora prywatnego” – dodał DeRusha w swoim oświadczeniu.