Strategia de securitate cibernetică a lui Biden cere răspundere pentru software și securitate mai strictă a infrastructurii critice

Administrația Biden-Harris a anunțat astăzi o nouă strategie națională de securitate cibernetică, care, printre altele, urmărește să stabilească o răspundere semnificativă pentru produsele și serviciile software și stabilește cerințe minime obligatorii de securitate cibernetică în sectorul infrastructurii critice.

Când este pe deplin implementată, strategia va consolida, de asemenea, capacitatea atât a entităților federale, cât și a celor din sectorul privat de a perturba și dezmembra operațiunile actorilor de amenințare și va cere tuturor entităților care manipulează date despre indivizi să acorde o atenție mai mare modului în care protejează aceste date.

Un obiectiv cheie al strategiei este ca autoritățile de reglementare federale să caute oportunități de a stimula toate părțile interesate să adopte practici de securitate mai bune prin structuri fiscale și alte mecanisme.

Reechilibrarea responsabilității pentru securitate cibernetică

„[Strategia] preia provocarea sistemică conform căreia o mare parte din responsabilitatea pentru securitatea cibernetică a căzut asupra utilizatorilor individuali și a utilizatorilor mici”, a scris președintele Biden în introducerea noului său plan. „Lucrând în parteneriat cu industria, societatea civilă și guvernele de stat, locale, tribale și teritoriale, vom reechilibra responsabilitatea ca securitatea cibernetică să fie mai eficace și mai echitabilă.”

Strategia lui Biden urmărește să creeze colaborarea și impulsul în jurul a cinci domenii specifice: protecția infrastructurii critice, întreruperea operațiunilor și infrastructurii actorilor de amenințări, promovarea securității mai bune printre furnizorii de software și organizațiile care manipulează date individuale, investiții în tehnologii mai rezistente și cooperare internațională în domeniul securității cibernetice.

Dintre acestea, inițiativele propuse privind securitatea infrastructurii critice și transferarea răspunderii către furnizorii de software și procesatorii de date ar putea avea cel mai semnificativ impact.

Componenta de infrastructură critică a strategiei lui Biden include o propunere de extindere a cerințelor minime de securitate cibernetică pentru toți operatorii de infrastructură critică. Reglementările se vor baza pe standardele și îndrumările existente de securitate cibernetică, cum ar fi Cadrul pentru îmbunătățirea securității cibernetice a infrastructurii critice al Institutului Național de Standarde și Tehnologie (NIST) și Obiectivele de performanță în domeniul securității cibernetice ale Agenției pentru securitatea cibernetică și a infrastructurii (CISA).

Un accent pe Securitate prin proiectare

Cerințele vor fi bazate pe performanță, adaptabile la cerințele în schimbare și se vor concentra pe stimularea adoptării principiilor securității prin proiectare.

„În timp ce abordările voluntare ale securității infrastructurii critice au produs îmbunătățiri semnificative, lipsa cerințelor obligatorii a dus la rezultate inadecvate și inconsecvente”, se arată în documentul de strategie. Reglementarea poate, de asemenea, să echivaleze condițiile de concurență în sectoarele în care operatorii sunt în competiție cu alții pentru a cheltui mai puțin pentru securitate, deoarece nu există într-adevăr niciun stimulent pentru a implementa o securitate mai bună. Strategia oferă operatorilor de infrastructură critică care ar putea să nu dispună de resursele financiare și tehnice pentru a îndeplini noile cerințe, cu posibile noi căi de asigurare a acestor resurse.

Joshua Corman, fost strateg șef CISA și actual vicepreședinte pentru siguranța cibernetică la Claroty, spune că alegerea administrației Biden de a face din securitatea infrastructurii critice o prioritate este una importantă.

„Națiunea a cunoscut întreruperi cibernetice de succes în infrastructura critică, care au avut un impact semnificativ asupra numeroaselor funcții de salvare, inclusiv accesul la apă, alimente, combustibil și îngrijirea pacienților, pentru a numi doar câteva”, spune Corman. „Acestea sunt sisteme vitale care suferă din ce în ce mai mult întreruperi, iar mulți dintre proprietarii și operatorii acestei infrastructuri critice sunt ceea ce eu numesc „bogați țintă, săraci cibernetici”.

Acestea sunt adesea printre cele mai atractive ținte pentru actorii amenințărilor, dar au cel mai mic număr de resurse pentru a se proteja, notează el.

Robert DuPree, managerul afacerilor guvernamentale la Telos, consideră că sprijinul Congresului este cheia planurilor lui Biden de a consolida securitatea cibernetică a infrastructurii critice.

„Impulsarea de a impune cerințe obligatorii de securitate cibernetică asupra sectoarelor suplimentare de infrastructură critică va avea nevoie de autorizație de către Congres în unele cazuri, ceea ce în mediul politic actual este în cel mai bun caz un termen lung”, a spus el într-un comunicat. „Majoritatea Casei republicane se opune din punct de vedere filozofic noilor mandate guvernamentale și nu este probabil să acorde administrației Biden o asemenea autoritate”.

Răspunderea furnizorilor pentru securitatea software-ului

În ceea ce este probabil să fie o mișcare controversată, noua strategie națională de securitate cibernetică a lui Biden pune, de asemenea, accent pe responsabilizarea mai directă a furnizorilor de software pentru securitatea tehnologiilor lor. Planul transferă în mod special răspunderea pentru software și servicii nesigure către furnizori și departe de utilizatorii finali care suportă consecințele software-ului nesigur.

Ca parte a efortului, administrația lui Biden va colabora cu Congresul pentru a încerca să adopte o legislație care ar împiedica producătorii de software și editorii cu putere de piață să decline pur și simplu răspunderea prin contract. Strategia oferă un port sigur pentru organizațiile cu practici sigure pentru dezvoltarea și întreținerea software-ului.

„Prea mulți furnizori ignoră cele mai bune practici pentru dezvoltarea securizată, livrează produse cu configurații implicite nesigure sau vulnerabilități cunoscute” și cu componente nesigure de la terți, se arată în documentul de strategie.

Pe lângă transferarea răspunderii către furnizorii de software, noua strategie solicită și cerințe minime de securitate pentru toate organizațiile care manipulează date individuale, în special datele de geolocalizare și de sănătate.

Sprijinul din Congres pentru eforturile de a transfera răspunderea către furnizorii de software s-a manifestat prin potriviri și începuturi de peste un deceniu, spune Brian Fox, CTO și co-fondator al Sonatype. "În 2013, HR5793 — Legea privind managementul și transparența lanțului de aprovizionare cibernetică cunoscut sub numele de Royce Bill a început conversația cu privire la introducerea listelor de materiale software (SBOM)”, spune el.

În cele din urmă, acea propunere nu a mers înainte, dar cerința ca toți furnizorii de software ai guvernului federal să producă SBOM la cerere a ajuns să fie încorporată într-un Ordin executiv mai 2021 de la președintele Biden, spune el. „Mai recent, am văzut Actul pentru securizarea software-ului cu sursă deschisă din 2022 făcându-și drum prin comitete. Pare clar că Congresul caută o modalitate de a avansa industria, iar strategia stabilește noi elemente specifice care trebuie luate în considerare.”

Morcov si bat

Ca parte a efortului de a ghida un comportament de securitate mai bun, guvernul federal își va folosi puterea enormă de achiziție pentru a determina furnizorii de software și servicii să adere contractual la cerințele minime de securitate. Va folosi granturi și alte mecanisme - cum ar fi procesele de stabilire a ratelor și structurile fiscale - pentru a determina organizațiile să investească mai mult în securitatea cibernetică.

Karen Walsh, expert în conformitate cu securitatea cibernetică la Allegro Solutions, spune că dacă planul funcționează așa cum s-a prevăzut, ar putea schimba mentalitatea corporativă de la o mentalitate de „securitate înseamnă penalități” la o mentalitate de „securitate înseamnă obținerea de recompense”.

„În multe privințe, acest lucru este similar cu modul în care guvernul oferă deja stimulente pentru inițiativele de energie curată”, spune Walsh.

Luptă înapoi

Un accent major al noii strategii este pe consolidarea capacităților sectorului federal și privat de a perturba operațiunile și infrastructura actorilor de amenințări. Planurile includ dezvoltarea unei capacități de întrerupere a întregului guvern, distrugeri mai coordonate ale infrastructurii și resurselor criminale și îngreunarea actorilor de amenințări să folosească infrastructura SUA pentru operațiuni de amenințări cibernetice.

„Demontarea actorilor amenințărilor este puțin probabil să aibă loc la scară largă”, spune Allie Mellen, analist senior la Forrester. „Este similar cu ideea de „hack back” – ipotetic grozav, dar greu de executat.”

Mellen consideră extinderea propusă a reglementărilor privind furnizorii de infrastructură critică ca fiind de departe cea mai semnificativă componentă a noii strategii.

„Nu numai că urmărește să stabilească un set de cerințe minime de securitate cibernetică, dar începe și să lege furnizorii de tehnologie, cum ar fi companiile de infrastructură ca serviciu (IaaS), la aceste cerințe, extinzându-i raza de acoperire”, spune ea.

Corman de la Claroty spune că unele dintre propunerile din noua strategie vor declanșa probabil niște conversații dure. Dar este timpul să le avem, notează el.

„Subiectele mai controversate, cum ar fi răspunderea pentru software, vor fi cu siguranță mai greu de realizat”, notează Corman. Dar efortul este crucial, spune el.

„Există un decalaj semnificativ între starea actuală și starea dorită pentru reziliența cibernetică a infrastructurii critice – avem nevoie de gândire îndrăzneață și acțiuni îndrăznețe pentru a reduce această decalaj.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security