Colin Thierry
Publicerad på: September 16, 2022
Vita huset släppte på onsdagen riktlinjer för cybersäkerhet för programvaruleverantörer som fungerade som en förlängning av en verkställande order som president Joe Biden undertecknade 2021.
Biden undertecknade "Improving the Nation's Cybersecurity" i maj 2021, som beskrev planerna på att modernisera USA:s cybersäkerhetsstrategi och implementera tekniker som multifaktorautentisering. En del av verkställande order hänvisade till planer på att tillhandahålla riktlinjer för den programvara som köpts och distribuerats inom statliga nätverk, som fanns i onsdagens memorandum.
I ett vitt hus meddelandet som också publicerades på onsdagen, sa Federal CISO och biträdande nationella cyberdirektör Chris DeRusha att även om det enda kvalitetskriteriet för en mjukvara brukade vara huruvida det fungerade som annonserat, så måste tekniken idag utvecklas på ett sätt som gör den motståndskraftig och säker. .
"Vägledningen, som utvecklats med input från den offentliga och privata sektorn samt akademin, uppmanar myndigheter att endast använda programvara som överensstämmer med säkra mjukvaruutvecklingsstandarder, skapar ett självbetygsformulär för mjukvaruproducenter och byråer, och kommer att tillåta den federala regeringen att snabbt identifiera säkerhetsluckor när nya sårbarheter upptäcks”, sa han.
Bidens riktlinjer för cybersäkerhet krävde också att federala statliga myndigheter skaffade ett självintygsformulär från en mjukvaruleverantör som bekräftar att produkten överensstämmer med säkerhetsanvisningarna från National Institute of Standards and Technology (NIST) innan du använder någon ny programvara.
Beroende på byrån kan programvaruleverantören också behöva bevisa efterlevnad genom artefakter, inklusive en mjukvaruförteckning (SBOM). Dessutom kan leverantören behöva tillhandahålla bevis för att den deltar i ett program för avslöjande av sårbarheter.
Även om den verkställande ordern och riktlinjerna inte juridiskt kräver att privata leverantörer släpper säker och kompatibel programvara, sa DeRusha att denna åtgärd var nödvändig efter SolarWinds supply chain attack 2020. Denna cyberattack ledde till att flera statliga myndigheter blev offer för dataintrång.
"Den här incidenten var en av en rad cyberintrång och betydande mjukvarusårbarheter under de senaste två åren som har hotat leveransen av statliga tjänster till allmänheten, såväl som integriteten hos enorma mängder personlig information och affärsdata som hanteras av den privata sektorn”, tillade DeRusha i sitt uttalande.
