Hva den nye føderale cybersikkerhetspolitikken betyr for offentlige entreprenører

Hva den nye føderale cybersikkerhetspolitikken betyr for offentlige entreprenører

Tidsstempel: 11. september 2023 1:59
Kilde node: 2874948

I mars ga den amerikanske regjeringen ut en ny Strategi for cybersikkerhet forfattet av kontoret til den nasjonale cyberdirektøren.

Strategien er delt inn i fem pilarer og 27 strategiske mål, og legger ut en dristig visjon for å forsvare kritisk infrastruktur, demontere trusselaktører, forme markedskrefter for å drive sikkerhet, investere i en robust fremtid og smi internasjonale partnerskap. Hvis den implementeres fullt ut, vil denne strategien gi bedrifter i kontraktsområdet utfordringen med økt gransking og høyere sikkerhetsstandarder, men også muligheten til å konkurrere om bestillinger og tilskudd rettet mot å styrke landets kritiske digitale infrastruktur.

Strategien omfatter flere interesseområder for det statlige entreprenørmiljøet, med potensial for økte midler til ulike prosjekter samt mulighet for ytterligere regulering og håndheving.

En seksjon diskuterer for eksempel bruk av føderale tilskuddsprogrammer for å stimulere til etablering av kritisk digital infrastruktur. En annen utdyper måtene regjeringen kan "utnytte føderale anskaffelser for å forbedre ansvarlighet", men krever også økt håndheving av sikkerhetskrav for leverandører som selger til den føderale regjeringen. Til slutt skisserer en bestemmelse planer om å "gi nytt liv til føderal forskning og utvikling for cybersikkerhet" gjennom en rekke føderalt finansierte forsknings- og utviklingssentre.

"Zero Day"-sårbarheter

Den mest kontroversielle delen krever holder programvareselskaper ansvarlige for å produsere usikker kode. Mens utnyttelsen av "Zero Day"-sårbarheter har nådd et rekordhøyt nivå de siste årene, noe som har resultert i omfattende innvirkninger på tvers av industri og myndigheter, er ideen om å holde selskapene ansvarlige for produksjon av usikker kode et stort avvik fra tidligere normer. Noen har stilt spørsmål ved om strategien inneholder nok detaljer til å være tilstrekkelig implementert, mens andre bemerket at dette målet kunne omforme hvordan hele regjeringen anskaffer programvare.

I et forsøk på å understreke denne endringen i tenkning publiserte Cybersecurity & Infrastructure Security Agency sammen med flere internasjonale partnere Secure-by-Design og -Standard-prinsipper i April. Denne veiledningen var ment å drive en kulturell endring i hvordan teknologimiljøet ser på sårbar programvare og flytte byrden med sikkerhet over på teknologiprodusenter.

Som en del av utrullingen av denne nye måten å tenke på, bemerket direktøren for CISA, Jen Easterly, i en tale ved Carnegie Mellon University at konseptet Secure-by-Design og -Default var ment å flytte byrden bort fra forbrukere og små bedrifter og over på de store teknologiselskapene. Dette betyr at hvis de er fullt implementert, vil store teknologiselskaper som Microsoft og Google bære en større grad av ansvar enn den gjennomsnittlige offentlige entreprenøren, spesielt selskaper klassifisert som små bedrifter.

Å flytte ansvarsbyrden er kontroversielt fordi store programvareutviklingsselskaper har antatt at hvis de fortsetter å identifisere og lappe sårbarheter, vil de være immune mot de fleste negative konsekvenser. Faktisk har Microsoft institusjonalisert ideen om rutinemessig å gi ut oppdateringer og rettelser til programvaren deres til det punktet "Patch Tuesday" har vært en stift i bransjen siden 2003.

Men ettersom trusselaktører fortsetter å utnytte flere nulldagssårbarheter enn noen gang før, har behovet for sikker programvare aldri vært større. I 2021 ble det største antallet nulldager utnyttet i historien, med statsstøttede aktører som leder an. Så langt i 2023, kriminelle løsepengevaregrupper har utnyttet kritiske sårbarheter fører til hundrevis av millioner dollar i løsepenger.

I juli 2023 publiserte ONCD en Nasjonal implementeringsplan for nettsikkerhetsstrategi å gi tidslinjer, ansvarlige byråer og spesifikk veiledning for mange av målene i strategien. Planen, for eksempel, satte Office of Management and Budget ansvaret for å implementere Federal Acquisition Regulation endringer som kreves i henhold til Executive Order 14028 innen første kvartal av FY24, og ba om at Office of Science and Technology Policy skulle samarbeide med en rekke tilskuddsgivende byråer for å prioritere investeringer i "minnesikre programmeringsspråk."

"Secure by Design"

Ingen av disse bestemmelsene kom med ny finansiering for implementering. Påfallende nok hadde "Secure-by-Design"-bestemmelsen en av de svakeste implementeringsplanene i hele dokumentet, og ba ONCD om å arrangere et juridisk symposium innen andre kvartal av FY24 for å "utforske forskjellige tilnærminger til et programvareansvarsrammeverk."

Til syvende og sist, hvordan føderale dollar tildeles i løpet av de neste regnskapsårene vil avgjøre den sanne virkningen av den nye strategien og implementeringsplanen. Selv om det ser ut til at kontorer som ONCD og CISA presser på for dramatiske endringer i cybersikkerhetslandskapet, kan deres mangel på regulerings- og budsjettmyndighet hindre implementeringen av disse planene.

Hvis den implementeres fullt ut, vil strategien ha en netto positiv effekt på myndighetenes innkjøp av plass ved å øke føderale investeringer i sikker teknologiutvikling og redusere sårbarheter i stor programvare som alle offentlige entreprenører bruker. Det er for tidlig å si om denne dristige visjonen for fremtiden virkelig kan bli en realitet.

Noah Rivers er forsker ved Greg and Camille Baroni Center for Government Contracting ved George Mason University School of Business.

Har du en mening?

Denne artikkelen er en Op-Ed og meningene som uttrykkes er forfatterens. Hvis du ønsker å svare, eller har en egen redaksjon du vil sende inn, vennligst e-post C4ISRNET og Federal Times Senior administrerende redaktør Cary O'Reilly.

Tidstempel:

Mer fra Forsvarsnyheter Globalt