Стратегия кибербезопасности Байдена призывает к ответственности за программное обеспечение и усилению безопасности критической инфраструктуры

Сегодня администрация Байдена-Харриса объявила о новой масштабной Национальной стратегии кибербезопасности, которая, среди прочего, направлена ​​на установление значимой ответственности за программные продукты и услуги и устанавливает обязательные минимальные требования к кибербезопасности в секторе критической инфраструктуры.

После полной реализации эта стратегия также укрепит способность как федеральных, так и частных организаций пресекать и ликвидировать операции субъектов угроз и потребует от всех организаций, которые обрабатывают данные о физических лицах, уделять больше внимания тому, как они защищают эти данные.

Одна из ключевых целей стратегии заключается в том, чтобы федеральные регулирующие органы искали возможности для стимулирования всех заинтересованных сторон к внедрению более эффективных методов обеспечения безопасности с помощью налоговых структур и других механизмов.

Изменение баланса ответственности за кибербезопасность

«[Стратегия] решает системную проблему, заключающуюся в том, что слишком большая часть ответственности за кибербезопасность ложится на отдельных пользователей и мелких пользователей», — написал президент Байден в введение в его новый план. «Работая в партнерстве с промышленностью, гражданским обществом и государственными, местными, племенными и территориальными органами власти, мы перебалансируем ответственность за кибербезопасность, чтобы она стала более эффективной и справедливой».

Стратегия Байдена направлена ​​на наращивание сотрудничества и наращивание импульса в пяти конкретных областях: защита критической инфраструктуры, нарушение деятельности и инфраструктуры субъектов угроз, повышение уровня безопасности среди поставщиков программного обеспечения и организаций, обрабатывающих отдельные данные, инвестиции в более устойчивые технологии и международное сотрудничество в области кибербезопасности.

Из них наиболее значительное влияние могут оказать предлагаемые инициативы в отношении безопасности критической инфраструктуры и перекладывания ответственности на поставщиков программного обеспечения и обработчиков данных.

Компонент критической инфраструктуры стратегии Байдена включает предложение расширить минимальные требования к кибербезопасности для всех операторов критической инфраструктуры. Правила будут основываться на существующих стандартах и ​​рекомендациях по кибербезопасности, таких как «Концепция улучшения кибербезопасности критической инфраструктуры» Национального института стандартов и технологий (NIST) и «Цели эффективности кибербезопасности» Агентства по кибербезопасности и безопасности инфраструктуры (CISA).

Фокус на безопасности по дизайну

Требования будут основаны на производительности, адаптируемы к изменяющимся требованиям и будут направлены на внедрение принципов безопасности, предусмотренных дизайном.

«В то время как добровольные подходы к безопасности критической инфраструктуры привели к значительным улучшениям, отсутствие обязательных требований привело к неадекватным и непоследовательным результатам», — говорится в документе о стратегии. Регулирование также может уравнять правила игры в секторах, где операторы соревнуются с другими за то, чтобы меньше тратить на безопасность, потому что на самом деле нет стимула для повышения безопасности. Стратегия предоставляет операторам критически важной инфраструктуры, у которых может не быть финансовых и технических ресурсов для удовлетворения новых требований, потенциально новые возможности для обеспечения этих ресурсов.

Джошуа Корман, бывший главный стратег CISA и нынешний вице-президент по кибербезопасности в Claroty, говорит, что решение администрации Байдена сделать безопасность критической инфраструктуры приоритетом является важным.

«В стране произошли успешные киберсбои в критически важной инфраструктуре, которые значительно повлияли на многие жизненно важные функции, включая доступ к воде, еде, топливу и уходу за пациентами, и это лишь некоторые из них», — говорит Корман. «Это жизненно важные системы, которые все больше и больше страдают от сбоев, и многие из владельцев и операторов этой критически важной инфраструктуры являются теми, кого я называю «целеустремленными, кибербедными».

Он отмечает, что они часто являются одними из самых привлекательных целей для злоумышленников, но имеют наименьшее количество ресурсов для собственной защиты.

Роберт Дюпри, менеджер по связям с правительством в Telos, рассматривает поддержку Конгресса как ключ к планам Байдена по укреплению кибербезопасности критически важной инфраструктуры.

«Стремление ввести обязательные требования кибербезопасности к дополнительным критически важным секторам инфраструктуры в некоторых случаях потребует разрешения Конгресса, что в нынешних политических условиях в лучшем случае является маловероятным», — сказал он в своем заявлении. «Большинство республиканской палаты философски настроено против новых правительственных мандатов и вряд ли предоставит администрации Байдена такие полномочия».

Привлечение поставщиков к ответственности за безопасность программного обеспечения

Новая национальная стратегия Байдена в области кибербезопасности, которая может вызвать споры, также делает упор на то, чтобы поставщики программного обеспечения несли более непосредственную ответственность за безопасность своих технологий. План специально перекладывает ответственность за небезопасное программное обеспечение и услуги на поставщиков, а не на конечных пользователей, которые несут ответственность за последствия небезопасного программного обеспечения.

В рамках этих усилий администрация Байдена будет работать с Конгрессом, чтобы попытаться принять закон, который не позволит производителям программного обеспечения и издателям, имеющим влияние на рынке, просто отказаться от ответственности по контракту. Стратегия обеспечивает безопасную гавань для организаций с явно безопасными методами разработки и обслуживания программного обеспечения.

«Слишком много поставщиков игнорируют лучшие практики безопасной разработки, поставляют продукты с небезопасными конфигурациями по умолчанию или известными уязвимостями» и с небезопасными сторонними компонентами, говорится в документе о стратегии.

Помимо переноса ответственности на поставщиков программного обеспечения, новая стратегия также требует минимальных требований безопасности для всех организаций, обрабатывающих индивидуальные данные, особенно данные о геолокации и состоянии здоровья.

По словам Брайана Фокса, технического директора и соучредителя Sonatype, поддержка в Конгрессе усилий по перекладыванию ответственности на поставщиков программного обеспечения проявлялась урывками на протяжении более десяти лет. "В 2013, HR5793 — Закон об управлении цепочками поставок и обеспечении прозрачности в киберпространстве известный как Билл Ройса, начал разговор о введении спецификаций программного обеспечения (SBOM)», — говорит он.

В конечном итоге это предложение не было реализовано, но требование ко всем поставщикам программного обеспечения для федерального правительства производить SBOM по запросу было включено в Распоряжение от мая 2021 г. от президента Байдена, говорит он. «Совсем недавно мы видели Закон о защите программного обеспечения с открытым исходным кодом от 2022 г. прокладывая себе путь через комитеты. Кажется очевидным, что Конгресс ищет способ продвинуть отрасль вперед, и в стратегии изложены конкретные новые элементы, которые необходимо учитывать».

Морковь и палка

В рамках усилий по улучшению поведения в области безопасности федеральное правительство будет использовать свое огромное влияние на закупки, чтобы заставить поставщиков программного обеспечения и услуг соблюдать на договорных условиях минимальные требования безопасности. Он будет использовать гранты и другие механизмы, такие как процессы определения ставок и налоговые структуры, чтобы заставить организации больше инвестировать в кибербезопасность.

Карен Уолш, эксперт по соблюдению требований кибербезопасности в Allegro Solutions, говорит, что если план сработает так, как задумано, он может изменить корпоративное мышление с «безопасность означает штрафы» на менталитет «безопасность означает получение вознаграждения».

«Во многом это похоже на то, как правительство уже предлагает стимулы для инициатив в области экологически чистой энергии», — говорит Уолш.

Борьба

Одним из основных направлений новой стратегии является укрепление возможностей федерального и частного секторов по нарушению деятельности и инфраструктуры злоумышленников. Планы включают в себя разработку общегосударственного потенциала для подрыва безопасности, более скоординированное уничтожение криминальной инфраструктуры и ресурсов, а также усложнение для злоумышленников использования инфраструктуры США для операций по устранению киберугроз.

«Ликвидация субъектов угроз вряд ли будет происходить в широких масштабах, — говорит Элли Меллен, старший аналитик Forrester. «Это похоже на идею «взломать» — гипотетически здорово, но сложно реализовать».

Меллен считает предлагаемое расширение правил для поставщиков критической инфраструктуры безусловно наиболее важным компонентом новой стратегии.

«Он не только стремится установить набор минимальных требований к кибербезопасности, но также начинает связывать поставщиков технологий, таких как компании, предоставляющие инфраструктуру как услугу (IaaS), с этими требованиями, расширяя сферу своей деятельности», — говорит она.

Корман из Claroty говорит, что некоторые из предложений новой стратегии, скорее всего, вызовут бурные обсуждения. Но давно пора их иметь, отмечает он.

«По общему признанию, будет сложнее достичь более спорных тем, таких как ответственность за программное обеспечение», — отмечает Корман. Но усилия имеют решающее значение, говорит он.

«Существует значительный разрыв между текущим состоянием и желаемым состоянием киберустойчивости критической инфраструктуры — нам нужны смелые мысли и смелые действия, чтобы сократить этот разрыв».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security