Biden-Harris-administrationen tillkännagav idag en genomgripande ny nationell cybersäkerhetsstrategi som bland annat syftar till att etablera ett meningsfullt ansvar för mjukvaruprodukter och tjänster och ställer upp obligatoriska minimikrav på cybersäkerhet i sektorn för kritisk infrastruktur.
När den är helt implementerad kommer strategin också att stärka förmågan hos både federala och privata enheter att störa och avveckla hotaktörsverksamhet och kräva att alla enheter som hanterar data om individer ska ägna mer uppmärksamhet åt hur de skyddar dessa uppgifter.
Ett centralt mål med strategin är att federala tillsynsmyndigheter ska leta efter möjligheter att uppmuntra alla intressenter att anta bättre säkerhetspraxis via skattestrukturer och andra mekanismer.
Ombalansering av ansvaret för cybersäkerhet
"[Strategien] tar sig an den systemiska utmaningen att alltför mycket av ansvaret för cybersäkerhet har fallit på enskilda användare och små användare", skrev president Biden i introduktionen till hans nya plan. "Genom att arbeta i partnerskap med industrin, civilsamhället och statliga, lokala, stam- och territoriella regeringar kommer vi att balansera om ansvaret för cybersäkerhet för att bli mer effektiv och rättvis."
Bidens strategi syftar till att bygga samarbete och momentum kring fem specifika områden: skydd av kritisk infrastruktur, störning av hotaktörsverksamhet och infrastruktur, främjande av bättre säkerhet bland mjukvaruleverantörer och organisationer som hanterar individuell data, investeringar i mer motståndskraftig teknik och internationellt samarbete kring cybersäkerhet.
Av dessa kan de föreslagna initiativen kring säkerhet av kritisk infrastruktur och förskjutning av ansvar till programvaruleverantörer och dataprocessorer ha den största effekten.
Den kritiska infrastrukturkomponenten i Bidens strategi inkluderar ett förslag om att utöka minimikraven för cybersäkerhet för alla operatörer av kritisk infrastruktur. Reglerna kommer att baseras på befintliga cybersäkerhetsstandarder och vägledning såsom National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity och Cybersecurity and Infrastructure Security Agency (CISA) Cybersecurity Performance Goals.
Fokus på Secure by Design
Kraven kommer att vara prestationsbaserade, anpassningsbara till förändrade krav och fokusera på att driva på införandet av "security-by-design"-principer.
"Medan frivilliga tillvägagångssätt för säkerhet i kritisk infrastruktur har skapat meningsfulla förbättringar, har avsaknaden av obligatoriska krav resulterat i otillräckliga och inkonsekventa resultat", står det i strategidokumentet. Reglering kan också utjämna villkoren i sektorer där operatörer konkurrerar med andra om att underutnyttja säkerhet eftersom det verkligen inte finns några incitament att implementera bättre säkerhet. Strategin ger kritiska infrastrukturoperatörer som kanske inte har de finansiella och tekniska resurserna för att möta de nya kraven, med potentiellt nya vägar för att säkra dessa resurser.
Joshua Corman, tidigare CISA-chefsstrateg och nuvarande vicepresident för cybersäkerhet på Claroty, säger att Biden-administrationens val att prioritera säkerhetskritisk infrastruktur är ett viktigt.
"Nationen har sett framgångsrika cyberstörningar i kritisk infrastruktur som avsevärt har påverkat många livlinans funktioner, inklusive tillgång till vatten, mat, bränsle och patientvård, för att bara nämna några," säger Corman. "Det här är viktiga system som i allt större utsträckning drabbas av störningar, och många av ägarna och operatörerna av denna kritiska infrastruktur är vad jag kallar "målrika, cyberfattiga."
Dessa är ofta bland de mest attraktiva målen för hotaktörer men har minst antal resurser att skydda sig själva, konstaterar han.
Robert DuPree, chef för regeringsfrågor på Telos, ser kongressstödet som nyckeln till Bidens planer på att stärka cybersäkerheten för kritisk infrastruktur.
"Strävan att införa obligatoriska cybersäkerhetskrav på ytterligare kritiska infrastruktursektorer kommer att behöva kongresstillstånd i vissa fall, vilket i den nuvarande politiska miljön i bästa fall är en longshot", sade han i ett uttalande. "Det republikanska husets majoritet är filosofiskt emot nya regeringsmandat och kommer sannolikt inte att ge Biden-administrationen sådan auktoritet."
Hålla leverantörer ansvariga för mjukvarusäkerhet
I vad som sannolikt kommer att bli ett kontroversiellt drag, lägger Bidens nya nationella cybersäkerhetsstrategi också tonvikten på att hålla programvaruleverantörer mer direkt ansvariga för säkerheten för deras teknologier. Planen flyttar specifikt ansvaret för osäker programvara och tjänster till leverantörerna och bort från slutanvändarna som bär konsekvenserna av osäker programvara.
Som en del av ansträngningen kommer Bidens administration att samarbeta med kongressen för att försöka anta lagstiftning som skulle förhindra mjukvarutillverkare och utgivare med marknadsmakt att helt enkelt frånsäga sig ansvar genom kontrakt. Strategin ger en säker hamn för organisationer med bevisligen säker praxis för mjukvaruutveckling och underhåll.
"Alltför många leverantörer ignorerar bästa praxis för säker utveckling, skickar produkter med osäkra standardkonfigurationer eller kända sårbarheter," och med osäkra tredjepartskomponenter, står det i strategidokumentet.
Förutom att flytta ansvar till mjukvaruleverantörer, kräver den nya strategin också minimisäkerhetskrav för alla organisationer som hanterar individuella data, särskilt geolokalisering och hälsodata.
Stöd i kongressen för ansträngningar att flytta ansvar till mjukvaruleverantörer har visat sig i pass och startar i över ett decennium, säger Brian Fox, CTO och medgrundare av Sonatype. "Under 2013, HR5793 — Cyber Supply Chain Management and Transparency Act känd som Royce Bill startade konversationen kring att introducera mjukvaruförteckningar (SBOM), säger han.
I slutändan gick det förslaget inte framåt, men kravet på alla mjukvaruleverantörer till den federala regeringen att producera SBOMs på begäran slutade med att införlivas i en Maj 2021:s verkställandeordning från president Biden, säger han. "På senare tid har vi sett Securing Open Source Software Act från 2022 arbeta sig igenom kommittéer. Det verkar tydligt att kongressen letar efter ett sätt att föra branschen framåt, och strategin anger specifika nya element som ska beaktas."
Morot och pinne
Som en del av ansträngningen att vägleda bättre säkerhetsbeteende kommer den federala regeringen att använda sin enorma inköpskraft för att få mjukvaru- och tjänsteleverantörer att kontraktuellt följa minimisäkerhetskraven. Den kommer att använda bidrag och andra mekanismer – såsom skatteprocesser och skattestrukturer – för att få organisationer att investera mer i cybersäkerhet.
Karen Walsh, expert på efterlevnad av cybersäkerhet på Allegro Solutions, säger att om planen fungerar som det är tänkt kan det förändra företagets tankesätt från en "säkerhet innebär straff" till en "säkerhet innebär att uppnå belöningar" mentalitet.
"På många sätt liknar detta hur regeringen redan erbjuder incitament för initiativ för ren energi", säger Walsh.
Slå tillbaka
Ett stort fokus i den nya strategin är att stärka den federala och privata sektorns kapacitet för att störa hotaktörernas verksamhet och infrastruktur. Planerna inkluderar utveckling av en helhetsstyrningskapacitet för störningar, mer samordnade nedtagningar av kriminell infrastruktur och resurser och att göra det svårare för hotaktörer att använda USA:s infrastruktur för cyberhotsoperationer.
"Att demontera hotaktörer kommer sannolikt inte att ske i bred skala", säger Allie Mellen, senior analytiker på Forrester. "Det liknar idén om "hack back" - hypotetiskt bra, men svår att utföra på."
Mellen anser att den föreslagna utvidgningen av regelverket för leverantörer av kritisk infrastruktur är den överlägset viktigaste komponenten i den nya strategin.
"Det ser inte bara ut att skapa en uppsättning minimikrav på cybersäkerhet, utan det börjar också koppla teknikleverantörer som IaaS-företag (infrastruktur-som-en-tjänst) till dessa krav, vilket breddar dess räckvidd", säger hon.
Clarotys Corman säger att några av förslagen i den nya strategin sannolikt kommer att utlösa några hårda samtal. Men det är hög tid att ha dem, konstaterar han.
"De mer kontroversiella ämnena, som programvaruansvar, kommer visserligen att bli svårare att uppnå", konstaterar Corman. Men insatsen är avgörande, säger han.
"Det finns en betydande klyfta mellan det nuvarande tillståndet och det önskade tillståndet för kritisk infrastrukturs cyberresiliens - vi behöver djärvt tänkande och djärv handling för att minska det gapet."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- förmåga
- tillgång
- Uppnå
- Agera
- Handling
- aktörer
- Dessutom
- Annat
- anslutit sig
- administrering
- anta
- Antagande
- byrå
- Alla
- redan
- bland
- analytiker
- och
- och infrastruktur
- meddelade
- tillvägagångssätt
- områden
- runt
- uppmärksamhet
- attraktiv
- myndighet
- tillstånd
- tillbaka
- baserat
- Bear
- därför att
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- bästa praxis
- Bättre
- mellan
- biden
- Biden administration
- Bill
- Sedlar
- nål
- stödja
- Brian
- bred
- SLUTRESULTAT
- Ring
- Samtal
- kapacitet
- vilken
- fall
- kedja
- utmanar
- byte
- chef
- val
- ren energi
- klar
- närmare
- Medgrundare
- samverkan
- Företag
- konkurrens
- Efterlevnad
- komponent
- komponenter
- Kongressen
- Kongress
- Konsekvenser
- anses
- anser
- kontrakt
- kontroversiell
- Konversation
- konversationer
- samarbete
- samordnas
- Företag
- kunde
- Kriminell
- kritisk
- Kritisk infrastruktur
- avgörande
- CTO
- Aktuella
- Nuvarande tillstånd
- cyber
- Cybersäkerhet
- datum
- årtionde
- Standard
- Efterfrågan
- önskas
- utveckla
- Utveckling
- svårt
- direkt
- Störa
- Störningar
- störningar
- dokumentera
- drivande
- Effektiv
- ansträngning
- ansträngningar
- element
- vikt
- energi
- enorm
- enheter
- Miljö
- speciellt
- etablera
- exekvera
- verkställande
- befintliga
- Bygga ut
- expansionen
- expert
- Fallen
- Federal
- Federala regeringen
- federala tillsynsmyndigheter
- få
- fält
- finansiella
- Fokus
- livsmedelsproduktion
- Tidigare
- Forrester
- Framåt
- Ramverk
- från
- Bränsle
- fullständigt
- funktioner
- spalt
- skaffa sig
- Ge
- Mål
- kommer
- Regeringen
- Regeringar
- bidrag
- stor
- styra
- hacka
- hantera
- Arbetsmiljö
- Hård
- Hälsa
- Hög
- innehav
- Huset
- Hur ser din drömresa ut
- HTTPS
- Tanken
- Inverkan
- påverkade
- genomföra
- genomföras
- med Esport
- ålagts
- förbättringar
- förbättra
- in
- Incitament
- incitament
- incitament
- innefattar
- innefattar
- Inklusive
- Inkorporerad
- alltmer
- individuellt
- individer
- industrin
- Infrastruktur
- initiativ
- Institute
- Internationell
- införa
- Beskrivning
- Invest
- Investeringar
- IT
- Nyckel
- känd
- Brist
- Lays
- Lagstiftning
- Nivå
- ansvar
- sannolikt
- LINK
- lokal
- se
- du letar
- underhåll
- större
- Majoritet
- göra
- Framställning
- ledning
- chef
- mandat
- obligatoriskt
- Tillverkare
- många
- marknad
- Materialet
- meningsfull
- betyder
- Möt
- kanske
- minsta
- Momentum
- mer
- mest
- flytta
- namn
- nation
- nationell
- Behöver
- Nya
- NIST
- Anmärkningar
- antal
- talrik
- mål
- Erbjudanden
- ONE
- öppet
- öppen källkod
- Verksamhet
- operatörer
- möjligheter
- motsatt
- beställa
- organisationer
- Övriga
- Övrigt
- ägare
- del
- Partnerskap
- Patienten
- Betala
- prestanda
- Plats
- Planen
- planer
- plato
- Platon Data Intelligence
- PlatonData
- i
- politiska
- dålig
- potentiellt
- kraft
- praxis
- VD
- president biden
- förhindra
- Principerna
- prioritet
- privat
- den privata sektorn
- processer
- processorer
- producera
- producerad
- Produkter
- främja
- förslag
- förslag
- föreslagen
- skydda
- skydd
- leverantörer
- ger
- förlag
- inköp
- Tryck
- Puts
- nå
- balansera
- nyligen
- reglering
- föreskrifter
- Tillsynsmyndigheter
- Republican
- kräver
- krav
- Krav
- elastisk
- Resurser
- ansvaret
- ansvarig
- Belöningar
- Rik
- säker
- Säkerhet
- Nämnda
- säger
- Skala
- sektor
- Sektorer
- säkra
- säkring
- säkerhet
- Söker
- verkar
- senior
- service
- Tjänster
- in
- uppsättningar
- skifta
- SKIFTANDE
- Skift
- FARTYG
- signifikant
- signifikant
- liknande
- helt enkelt
- Small
- Samhället
- Mjukvara
- mjukvaruutveckling
- Lösningar
- några
- Källa
- specifik
- specifikt
- intressenter
- standarder
- igång
- startar
- Ange
- .
- Strateg
- Strategi
- Stärka
- förstärkning
- framgångsrik
- sådana
- lidande
- leverantörer
- leverera
- leveranskedjan
- supply chain management
- stödja
- systemisk
- System
- Ta
- tar
- Målet
- mål
- skatt
- Teknisk
- Tekniken
- Teknologi
- teknikens
- Smakämnen
- deras
- sig själva
- saker
- Tänkande
- tredje part
- hot
- hotaktörer
- Genom
- tätare
- tid
- till
- i dag
- alltför
- ämnen
- Öppenhet
- utlösa
- us
- användning
- användare
- Ve
- försäljare
- via
- Vice President
- visningar
- avgörande
- sårbarheter
- Vatten
- sätt
- Vad
- Vad är
- som
- medan
- VEM
- kommer
- Arbete
- arbetssätt
- fungerar
- skulle
- zephyrnet
