Wat het nieuwe federale cyberveiligheidsbeleid betekent voor overheidsaannemers

In maart bracht de Amerikaanse regering een nieuw rapport uit Strategie voor cyberbeveiliging geschreven door het Bureau van de Nationale Cyber ​​Directeur.

De strategie is opgesplitst in vijf pijlers en 27 strategische doelstellingen en schetst een gedurfde visie voor het verdedigen van kritieke infrastructuur, het ontmantelen van bedreigingsactoren, het vormgeven van marktkrachten om de veiligheid te stimuleren, het investeren in een veerkrachtige toekomst en het smeden van internationale partnerschappen. Als deze strategie volledig wordt geïmplementeerd, zal deze strategie bedrijven in de contractruimte de uitdaging bieden van meer toezicht en hogere veiligheidsnormen, maar ook de mogelijkheid om te strijden om opdrachten en subsidies die gericht zijn op het versterken van de kritieke digitale infrastructuur van het land.

De strategie omvat verschillende aandachtsgebieden voor de gemeenschap van overheidscontractanten, met het potentieel voor meer financiering voor verschillende projecten en de mogelijkheid van aanvullende regelgeving en handhaving.

Eén sectie bespreekt bijvoorbeeld het gebruik van federale subsidieprogramma’s om de creatie van cruciale digitale infrastructuur te stimuleren. Een ander gaat dieper in op de manieren waarop de overheid ‘federale aanbestedingen zou kunnen inzetten om de verantwoording te verbeteren’, maar roept ook op tot meer handhaving van veiligheidseisen voor leveranciers die aan de federale overheid verkopen. Ten slotte schetst één bepaling plannen om “federaal onderzoek en ontwikkeling voor cyberbeveiliging nieuw leven in te blazen” via een verscheidenheid aan federaal gefinancierde onderzoeks- en ontwikkelingscentra.

'Zero Day'-kwetsbaarheden

Het meest controversiële gedeelte vraagt ​​om softwarebedrijven aansprakelijk stellen voor het produceren van onveilige code. Hoewel de exploitatie van ‘Zero Day’-kwetsbaarheden de afgelopen jaren een recordhoogte heeft bereikt, wat heeft geresulteerd in ingrijpende gevolgen voor de industrie en de overheid, wijkt het idee om bedrijven aansprakelijk te stellen voor de productie van onveilige code in grote mate af van eerdere normen. Sommigen hebben zich afgevraagd of de strategie bevat voldoende details om adequaat te kunnen worden geïmplementeerd, terwijl anderen opmerkten dat dit doel wel mogelijk zou zijn een nieuwe vorm te geven aan de manier waarop de hele overheid software aanschaft.

In een poging om deze verschuiving in het denken te benadrukken, heeft de Cybersecurity & Infrastructure Security Agency samen met verschillende internationale partners een publicatie gepubliceerd Secure-by-Design- en -Default-principes in april. Deze richtlijnen waren bedoeld om een ​​culturele verandering teweeg te brengen in de manier waarop de technologiegemeenschap naar kwetsbare software kijkt en om de last van de beveiliging op de technologiefabrikanten af ​​te schuiven.

Als onderdeel van de uitrol van deze nieuwe manier van denken, merkte de directeur van CISA, Jen Easterly, op in een toespraak aan de Carnegie Mellon Universiteit dat het concept van Secure-by-Design en -Default bedoeld was om de last te verschuiven van consumenten en kleine bedrijven naar de grote technologiebedrijven. Dit betekent dat, indien volledig geïmplementeerd, grote technologiebedrijven als Microsoft en Google een grotere mate van verantwoordelijkheid zouden dragen dan de gemiddelde overheidscontractant, met name bedrijven die als kleine bedrijven worden geclassificeerd.

Het verschuiven van de verantwoordelijkheidslast is controversieel omdat grote softwareontwikkelingsbedrijven tot nu toe ervan uitgingen dat als ze door zouden gaan met het identificeren en patchen van kwetsbaarheden, ze immuun zouden zijn voor de meeste negatieve gevolgen. In feite heeft Microsoft het idee van het routinematig uitbrengen van updates en oplossingen voor hun software geïnstitutionaliseerd tot het punt dat dat het geval is “Patch Tuesday” is sinds 2003 een belangrijk onderdeel van de industrie.

Omdat bedreigingsactoren echter meer zero-day-kwetsbaarheden blijven exploiteren dan ooit tevoren, is de behoefte aan veilige software nog nooit zo groot geweest. In 2021 werd het grootste aantal zero-days in de geschiedenis benut, waarbij door de staat gesponsorde actoren het voortouw nemen. Tot nu toe in 2023, criminele ransomwaregroepen hebben kritieke kwetsbaarheden misbruikt leiden naar honderden miljoenen dollars aan losgeld.

In juli 2023 publiceerde de ONCD een Implementatieplan Nationale Cybersecurity Strategie het verstrekken van tijdlijnen, verantwoordelijke instanties en specifieke begeleiding voor veel van de doelstellingen die in de strategie zijn uiteengezet. Het plan gaf bijvoorbeeld het Office of Management and Budget de leiding over de implementatie van de krachtens de Federal Acquisition Regulation vereiste wijzigingen Executive Order 14028 tegen het eerste kwartaal van boekjaar 24, en riep het Office of Science and Technology Policy op om samen te werken met een verscheidenheid aan subsidieverstrekkende instanties om prioriteit te geven aan investeringen in ‘geheugenveilige programmeertalen’.

'Veilig door ontwerp'

Voor geen van deze bepalingen werd nieuwe financiering voor de implementatie beschikbaar gesteld. Opvallend was dat de ‘Secure-by-Design’-bepaling een van de zwakste implementatieplannen in het hele document bevatte, waarbij ONCD werd opgeroepen om in het tweede kwartaal van FY24 een juridisch symposium te organiseren om ‘verschillende benaderingen van een raamwerk voor softwareaansprakelijkheid te onderzoeken’.

Uiteindelijk zal de manier waarop federale dollars worden toegewezen in de komende begrotingsjaren bepalend zijn voor de werkelijke impact van de nieuwe strategie en het implementatieplan. Hoewel het erop lijkt dat kantoren als ONCD en CISA aandringen op dramatische verschuivingen in het cyberbeveiligingslandschap, kan hun gebrek aan regelgevende en begrotingsautoriteit de uitvoering van deze plannen belemmeren.

Indien volledig geïmplementeerd zou de strategie een netto positief effect hebben op de contractruimte van de overheid, door de federale investeringen in veilige technologieontwikkeling te verhogen en de kwetsbaarheden in de grote software die alle overheidscontractanten gebruiken te verminderen. Het is nog te vroeg om te zeggen of deze gedurfde visie voor de toekomst werkelijk werkelijkheid kan worden.

Noah Rivers is onderzoeksmedewerker bij het Greg and Camille Baroni Center for Government Contracting aan de George Mason University School of Business.

Heb een mening?

Dit artikel is een opiniestuk en de geuite meningen zijn die van de auteur. Als u wilt reageren of zelf een redactioneel commentaar wilt indienen, graag e-mail C4ISRNET en hoofdredacteur Cary O'Reilly van de Federal Times.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.defensenews.com/opinion/2023/09/11/what-new-federal-cybersecurity-policy-means-for-government-contractors/