Colin Thierry
Được đăng trên: Ngày 16 tháng 2022 năm XNUMX
Nhà Trắng đã công bố hướng dẫn an ninh mạng vào thứ Tư cho các nhà cung cấp phần mềm được coi là phần mở rộng của lệnh hành pháp mà Tổng thống Joe Biden đã ký vào năm 2021.
Biden đã ký “Cải thiện an ninh mạng của quốc gia” vào tháng 2021 năm XNUMX, trong đó phác thảo kế hoạch hiện đại hóa phương pháp tiếp cận an ninh mạng của Hoa Kỳ và triển khai các kỹ thuật như xác thực đa yếu tố. Một phần của lệnh điều hành các kế hoạch tham chiếu để cung cấp các hướng dẫn cho phần mềm được mua và triển khai trong các mạng của chính phủ, có trong ngày Thứ Tư biên bản ghi nhớ.
Trong nhà trắng tuyên bố cũng được đăng vào thứ Tư, CISO Liên bang và Phó Giám đốc Không gian mạng Quốc gia Chris DeRusha nói rằng trong khi tiêu chí duy nhất về chất lượng của một phần mềm là liệu nó có hoạt động như quảng cáo hay không, công nghệ ngày nay phải được phát triển theo cách làm cho nó linh hoạt và an toàn. .
“Hướng dẫn, được phát triển với đầu vào từ khu vực công và tư nhân cũng như giới học thuật, chỉ đạo các cơ quan chỉ sử dụng phần mềm tuân thủ các tiêu chuẩn phát triển phần mềm an toàn, tạo ra một biểu mẫu tự chứng thực cho các cơ quan và nhà sản xuất phần mềm và sẽ cho phép chính phủ liên bang để nhanh chóng xác định các lỗ hổng bảo mật khi các lỗ hổng mới được phát hiện, ”ông nói.
Hướng dẫn an ninh mạng của Biden cũng yêu cầu các cơ quan chính phủ liên bang phải có được biểu mẫu tự chứng thực từ một nhà cung cấp phần mềm xác nhận rằng sản phẩm tuân thủ hướng dẫn bảo mật từ Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) trước khi sử dụng bất kỳ phần mềm mới nào.
Tùy thuộc vào cơ quan, nhà cung cấp phần mềm cũng có thể phải chứng minh sự tuân thủ thông qua các hiện vật bao gồm hóa đơn phần mềm (SBOM). Ngoài ra, nhà cung cấp có thể được yêu cầu cung cấp bằng chứng rằng họ tham gia vào chương trình tiết lộ lỗ hổng bảo mật.
Mặc dù lệnh hành pháp và hướng dẫn không yêu cầu các nhà cung cấp tư nhân phát hành phần mềm an toàn và tuân thủ một cách hợp pháp, nhưng DeRusha cho biết hành động này là cần thiết sau cuộc tấn công chuỗi cung ứng SolarWinds vào năm 2020. Cuộc tấn công mạng này đã khiến một số cơ quan chính phủ trở thành nạn nhân của vi phạm dữ liệu.
“Sự cố này là một trong chuỗi các vụ xâm nhập mạng và các lỗ hổng phần mềm quan trọng trong hai năm qua đã đe dọa việc cung cấp các dịch vụ của Chính phủ cho công chúng, cũng như tính toàn vẹn của một lượng lớn thông tin cá nhân và dữ liệu kinh doanh được quản lý bởi DeRusha nói thêm trong tuyên bố của mình.
