Что означает новая федеральная политика кибербезопасности для государственных подрядчиков

В марте правительство США опубликовало новый Стратегия кибербезопасности автор: Управление национального кибер-директора.

Стратегия, разделенная на пять столпов и 27 стратегических целей, излагает смелое видение защиты критически важной инфраструктуры, ликвидации субъектов угроз, формирования рыночных сил для обеспечения безопасности, инвестиций в устойчивое будущее и налаживания международного партнерства. В случае полной реализации эта стратегия поставит перед предприятиями в сфере контрактов задачу усиления контроля и более высоких стандартов безопасности, а также возможность конкурировать за заказы и гранты, направленные на поддержку критически важной цифровой инфраструктуры страны.

Стратегия включает в себя несколько областей, представляющих интерес для сообщества государственных заказчиков, с потенциалом увеличения финансирования различных проектов, а также возможностью дополнительного регулирования и правоприменения.

Например, в одном разделе обсуждается использование программ федеральных грантов для стимулирования создания критически важной цифровой инфраструктуры. Другой подробно описывает способы, с помощью которых правительство могло бы «использовать федеральные закупки для улучшения подотчетности», но также призывает усилить соблюдение требований безопасности для поставщиков, которые продают продукцию федеральному правительству. Наконец, в одном положении излагаются планы по «активизации федеральных исследований и разработок в области кибербезопасности» через различные научно-исследовательские центры, финансируемые из федерального бюджета.

Уязвимости «нулевого дня»

Самый спорный раздел требует привлечение к ответственности компаний-разработчиков программного обеспечения для создания небезопасного кода. Хотя использование уязвимостей «нулевого дня» в последние годы достигло рекордно высокого уровня, что привело к огромным последствиям для промышленности и правительства, идея привлечения компаний к ответственности за создание небезопасного кода является серьезным отходом от предыдущих норм. Некоторые задаются вопросом, является ли стратегия содержит достаточно деталей для адекватной реализации, в то время как другие отметили, что эта цель могла бы изменить то, как все правительство закупает программное обеспечение.

Стремясь подчеркнуть этот сдвиг в мышлении, Агентство кибербезопасности и безопасности инфраструктуры совместно с несколькими международными партнерами опубликовало Принципы безопасности при проектировании и по умолчанию в апреле. Это руководство было призвано вызвать культурные изменения в том, как технологическое сообщество относится к уязвимому программному обеспечению, и переложить бремя обеспечения безопасности на производителей технологий.

В рамках внедрения этого нового образа мышления директор CISA Джен Истерли отметила в выступление в Университете Карнеги-Меллон что концепция Secure-by-Design и -Default была призвана переложить бремя с потребителей и малого бизнеса на крупные технологические компании. Это означает, что в случае полной реализации крупные технологические компании, такие как Microsoft и Google, будут нести большую степень ответственности, чем средний государственный подрядчик, особенно компании, классифицируемые как малые предприятия.

Перекладывание бремени ответственности является спорным, поскольку до сих пор крупные компании-разработчики программного обеспечения предполагали, что, если они продолжат выявлять и устранять уязвимости, они будут защищены от большинства негативных последствий. Фактически, Microsoft институционализировала идею регулярного выпуска обновлений и исправлений своего программного обеспечения до такой степени, что «Patch Tuesday» стал основным продуктом индустрии с 2003 года.

Однако, поскольку злоумышленники продолжают использовать больше уязвимостей нулевого дня, чем когда-либо прежде, потребность в безопасном программном обеспечении никогда не была такой высокой. В 2021 году было использовано наибольшее количество нулевых дней в истории., при этом ведущие роли играют спонсируемые государством актеры. Пока в 2023 году Преступные группы, занимающиеся программами-вымогателями, использовали критические уязвимости что приводит к сотни миллионов долларов в виде выкупа.

В июле 2023 года ONCD опубликовало План реализации Национальной стратегии кибербезопасности предоставление сроков, ответственных учреждений и конкретных указаний по многим целям, изложенным в стратегии. План, например, возлагал на Управление управления и бюджета ответственность за реализацию изменений в Положении о федеральных закупках, требуемых согласно Распоряжение 14028 к первому кварталу 24 финансового года и призвал Управление научно-технической политики работать с различными агентствами, предоставляющими гранты, чтобы определить приоритет инвестиций в «языки программирования, безопасные для памяти».

«Безопасно по дизайну»

Ни одно из этих положений не получило нового финансирования для реализации. Поразительно, что положение «Продуманная безопасность» имело один из самых слабых планов реализации во всем документе, призывая ONCD провести ко второму кварталу 24 финансового года юридический симпозиум для «изучения различных подходов к системе ответственности за программное обеспечение».

В конечном итоге то, как будут распределены федеральные деньги в течение следующих нескольких финансовых лет, определит истинное воздействие новой стратегии и плана реализации. Хотя кажется, что такие офисы, как ONCD и CISA, настаивают на кардинальных изменениях в сфере кибербезопасности, отсутствие у них регуляторных и бюджетных полномочий может помешать реализации этих планов.

В случае полной реализации стратегия окажет положительное влияние на объем государственных контрактов за счет увеличения федеральных инвестиций в разработку безопасных технологий и снижения уязвимостей в основном программном обеспечении, которое используют все государственные подрядчики. Еще слишком рано говорить о том, сможет ли это смелое видение будущего действительно стать реальностью.

Ной Риверс — научный сотрудник Центра государственных контрактов Грега и Камиллы Барони при Школе бизнеса Университета Джорджа Мейсона.

Есть мнение?

Эта статья является обзором, и высказанные мнения принадлежат автору. Если вы хотите ответить или у вас есть собственная редакционная статья, которую вы хотели бы представить, пожалуйста, электронная почта C4ISRNET и старший управляющий редактор Federal Times Кэри О'Рейли.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.defensenews.com/opinion/2023/09/11/what-new-federal-cybersecurity-policy-means-for-government-contractors/