Білий дім випускає рекомендації з кібербезпеки для постачальників програмного забезпечення

Опубліковано: Вересень 16, 2022

У середу Білий дім опублікував інструкції з кібербезпеки для постачальників програмного забезпечення, які стали продовженням указу, підписаного президентом Джо Байденом у 2021 році.

У травні 2021 року Байден підписав документ «Підвищення кібербезпеки нації», у якому виклав плани щодо модернізації підходу Сполучених Штатів до кібербезпеки та впровадження таких методів, як багатофакторна автентифікація. Одна частина розпорядження посилаючись на плани щодо надання вказівок щодо програмного забезпечення, придбаного та розгорнутого в державних мережах, який містився в середу memorandum.

У Білому домі заяву Також опубліковано в середу, Федеральний CISO та заступник Національного кібердиректора Кріс ДеРуша сказав, що в той час як єдиним критерієм якості для частини програмного забезпечення раніше було те, чи воно працювало, як рекламується, сьогодні технологію потрібно розробляти таким чином, щоб зробити її стійкою та безпечною .

«Керівництво, розроблене за участю державного та приватного секторів, а також наукових кіл, наказує агентствам використовувати лише програмне забезпечення, яке відповідає стандартам розробки безпечного програмного забезпечення, створює форму самоатестації для виробників програмного забезпечення та агентств і дозволяє федеральному уряду щоб швидко виявити прогалини в безпеці, коли виявляються нові вразливості», – сказав він.

Керівництво Байдена з кібербезпеки також вимагало від федеральних урядових установ отримати форму самоатестації від постачальника програмного забезпечення, яка підтверджує, що продукт відповідає інструкціям безпеки від Національний інститут стандартів і технологій (NIST) перед використанням будь-якого нового програмного забезпечення.

Залежно від агентства, постачальнику програмного забезпечення також може знадобитися підтвердити відповідність за допомогою артефактів, зокрема списку матеріалів програмного забезпечення (SBOM). Крім того, від постачальника може знадобитися надати докази того, що він бере участь у програмі розкриття вразливостей.

Хоча виконавчий наказ і інструкції юридично не вимагають від приватних постачальників випускати безпечне та сумісне програмне забезпечення, ДеРуша сказав, що ця дія була необхідною після атаки на ланцюжок поставок SolarWinds у 2020 році. Ця кібератака призвела до того, що кілька державних установ стали жертвами витоку даних.

«Цей інцидент був одним із серії кібервторгнень і значних уразливостей програмного забезпечення за останні два роки, які загрожували наданню державних послуг населенню, а також цілісності величезних обсягів особистої інформації та бізнес-даних, якими керує приватний сектор», – додав ДеРуша у своїй заяві.